Den personuppgiftsansvariges skyldigheter med anledning...
71
JURIDISKA INSTITUTIONEN Stockholms universitet Den personuppgiftsansvariges skyldigheter med anledning av dataskyddsförordningen Fredrik Norberg Examensarbete i rättsinformatik, 30 hp Examinator: ? Stockholm, Vårterminen 2017
Transcript of Den personuppgiftsansvariges skyldigheter med anledning...
1
JURIDISKA INSTITUTIONEN
Stockholms universitet
Den personuppgiftsansvariges
skyldigheter med anledning av
dataskyddsförordningen
Fredrik Norberg
Examensarbete i rättsinformatik, 30 hp
Examinator: ?
Stockholm, Vårterminen 2017
2
Abstract
The EU Commission has passed the General Data Protection Regulation (GDPR) that will come
into effect in May 2018. The regulation promises enhanced protection for natural persons in
regards to the processing of personal data. But such promises also entails more regulation for
those who process personal data that in turn is likely to result in obligations to implement ap-
propriate technical and organisational measures to ensure - and to be able to demonstrate - that
processing is performed in accordance with the regulation. This thesis will map what obliga-
tions the GDPR implies for those who are defined as “data controllers” by the regulation and
examine what these obligations mean in terms of compliance. The scope of this thesis will be
delimited to data controllers who are legal persons and do not represent a public authority or
agency.
The study shows that more than a few of the obligations the GDPR establishes for specific data
controllers only can be determined after an assessment has been made regarding the data con-
trollers processing activities in relation to the respective obligation. In other words, it is not all
that clear which obligations the data controller needs to adhere to. Furthermore, the obligations
the data controller is impacted by, are also in several cases dependant on codes of conduct,
certifications and guidelines provided by the European Data Protection Board in order to inter-
pret and understand them. This is in fact problematic since these codes of conduct, certifications
and guidelines (called soft law with a comprehensive term) will not develop until after the
GDPR has come into effect. This problem is further aggravated for the data controllers, since
these obligations are associated with substantial administrative fines due to the nature of the
GDPR as a sanctioned protection law. At present time, it is not clear exactly how data control-
lers can identify all the obligations they are impacted by and how they should be interpreted.
However, guidelines are likely to follow in the wake of the GDPR.
3
Innehållsförteckning
ABSTRACT ........................................................................................................................................................... 2
FÖRKORTNINGAR ............................................................................................................................................ 5
1 INTRODUKTION ........................................................................................................................................ 6
1.1 INLEDNING ............................................................................................................................................. 6
1.2 SYFTE OCH AVGRÄNSNING ..................................................................................................................... 9
1.3 PROBLEMFORMULERING OCH DISPOSITION ............................................................................................. 9
1.4 METOD ................................................................................................................................................. 11
2 KARTLÄGGNING AV PERSONUPPGIFTSANSVARIGES SKYLDIGHETER .............................. 14
2.1 NÄR DATASKYDDSFÖRORDNINGEN ÄR TILLÄMPLIG ............................................................................. 14
2.1.1 Materiellt tillämpningsområde. ....................................................................................................... 14
2.1.2 Territoriellt tillämpningsområde ..................................................................................................... 16
2.2 GRUNDLÄGGANDE VILLKOR FÖR BEHANDLING .................................................................................... 17
2.2.1 Hanteringsregler ............................................................................................................................. 17
2.2.2 Laglig grund för behandling av personuppgifter ............................................................................ 20
2.2.3 Känsliga personuppgifter ................................................................................................................ 23
2.3 PERSONUPPGIFTSANSVARIGES SKYLDIGHETER MED ANLEDNING AV DEN REGISTRERADES RÄTTIGHETER
27
2.3.1 Informationsskyldigheten ................................................................................................................ 27
2.3.2 Informationsskyldighetens innehåll ................................................................................................. 30
2.3.3 Kommunikationsskyldigheten och den registrerades rättigheter .................................................... 32
2.3.4 Kommunikationsskyldigheten .......................................................................................................... 33
2.3.5 Den registrerades rättigheter .......................................................................................................... 34
2.4 PERSONUPPGIFTSANSVARIGES ALLMÄNNA SKYLDIGHETER .................................................................. 41
2.4.1 Den personuppgiftsansvarigs ansvar .............................................................................................. 41
2.4.2 Lämpliga åtgärder........................................................................................................................... 41
2.4.3 Riskbedömningen i behandlingen .................................................................................................... 43
2.4.4 Skyldigheten att utföra en konsekvensbedömning avseende dataskyddet ........................................ 45
2.4.5 Inbyggt dataskydd och dataskydd som standard ............................................................................. 47
2.4.6 Skyldigheter avseende informationssäkerhet................................................................................... 48
2.4.7 Skyldigheten avseende registerföring .............................................................................................. 53
2.4.8 Skyldigheten att utse ett dataskyddsombud ..................................................................................... 56
2.5 ADMINISTRATIVA SANKTIONSBESTÄMMELSER ..................................................................................... 58
2.5.1 Sanktionsavgiftsgrundande bestämmelser ....................................................................................... 58
2.5.2 Sanktionsavgiftsbeloppets bestämmande och utdömande ............................................................... 60
3 SAMMANFATTNING OCH DISKUSSION KRING DEN PERSONUPPGIFTSANSVARIGES
SKYLDIGHETER .............................................................................................................................................. 63
4
3.1 SAMMANFATTNING AV DEN PERSONUPPGIFTSANSVARIGES SKYLDIGHETER ......................................... 63
3.2 DISKUSSION KRING UTVECKLINGEN AV SOFT LAW PÅ DATASKYDDSOMRÅDET .................................... 66
4 KÄLLFÖRTECKNING ............................................................................................................................ 69
BILAGA – SAMMANSTÄLLNING AV DEN PERSONUPPGIFTSANSVARIGES SKYLDIGHETER . 70
5
Förkortningar
Dataskyddsdirektivet Europaparlamentets och rådets direktiv 95/46/EG av den 24 ok-
tober 1995 om skydd för enskilda personer med avseende på be-
handling av personuppgifter och om behandling av det fria flödet
av sådana uppgifter.
Dataskyddsförordningen Europaparlamentets och rådets förordning EU/2016/617 av den
27 april 2016 om skydd för fysiska personer med avseende på
behandling av personuppgifter och om det fria flödet av sådana
uppgifter (Allmän dataskyddsförordning)
PUL Personuppgiftslag (1998:204)
GDPR General Data Protection Regulation (Dataskyddsförordningen)
Rättighetsstadgan Europeiska unionens stadga om de mänskliga rättigheterna
FEUF Fördraget om Europeiska unionens funktionssätt (konsoliderad
version 2012).
Informationssystem Ett system som används för att samla in, lagra, bearbeta och dis-
tribuera information för en domän och därigenom stödjer kom-
munikation och arbete inom och mellan organisationer.
6
1 Introduktion
1.1 Inledning
En ny allmän dataskyddsförordning (EU) 2016/679 är beslutad av Europaparlamentet och kom-
mer bli tillämplig den 25:e maj 2018. Regleringen kommer ersätta det tidigare dataskyddsdi-
rektivet 95/46/EG och innebära ett förstärkt integritetsskydd för fysiska personer avseende be-
handling av deras personuppgifter.1 I takt med den tekniska utvecklingen och globaliseringen
tillkommer även nya behov och förutsättningar för att skydda den personliga integriteten. Dessa
förändringar kräver en stark och mer sammanhängande ram för dataskyddet inom unionen upp-
backat av ett kraftfullt tillsynsarbete i syfte att skapa den tillit som behövs för att utveckla den
digitala ekonomin i Europas inre marknad.2 Initiativet till förordningen är sprungen ur den di-
gitala agendan för Europa3 som är ett av sju huvudinitiativ inom ramen för den övergripande
Europa 2020-strategin4.
För att kunna skapa ett förstärkt integritetsskydd för fysiska personer kommer den nya data-
skyddsförordningen bland annat innehålla en mer omfattande reglering avseende dem som in-
samlar, lagrar eller behandlar personuppgifter samt fler och strängare krav.5 Med anledning av
detta kommer de som utför personuppgiftsbehandling stå inför en mer eller mindre omfattande
omställningsprocess för att leva upp till de nya skyldigheterna som dataskyddsförordningen för
med sig när den blir tillämplig i maj 2018. Vad gäller en sådan omställningsprocess för person-
uppgiftsansvariga kan den innebära både tekniska och organisatoriska utmaningar där åtgär-
derna som måste genomföras påverkar flera olika verksamhetsområden i flera olika länder och
som berör ett stort antal registrerade. Sätter man det i relation till tidsaspekten kryper tidshori-
sonten fort närmare. Med andra ord står många kommersiella aktörer idag inför ett omställ-
ningsarbete för att anpassa sina respektive verksamheter till den nya dataskyddsförordningen,
vilket i realiteten innebär betydande investeringar av resurser både avseende arbetstid och
pengar för att leva upp till den kommande regleringen. För de registrerades vidkommande är
1 Rättighetsstadgan art. 8.1 samt FEUF art. 16.1 2 Allmän dataskyddsförordning (EU) 2016/679 punkt 6 och 7 i ingressen 3 KOM(2010) 245 slutlig – En digital agenda för Europa, sid 10 4 KOM(2010) 2020 Europa 2020 – En strategi för smart och hållbar tillväxt för alla, sid 5 5 Rent materiellt innehåller allmänna dataskyddsförordningen 99 artiklar och 173 punkter i ingressen i förhållande
till dataskyddsdirektivets 34 artiklar och 72 punkter i ingressen.
7
den nystiftade skyddsnivån för deras personliga integritet avseende personuppgifter helt bero-
ende av att personuppgiftsansvariga och personuppgiftsbiträden genomför ett adekvat omställ-
ningsarbete – i rätt tid.
Det finns däremot en fördel med den nya dataskyddsförordningen som kommer lindra effekten
av omställningsprocessen för organisationer och verksamheter som drabbas hårdast av den. Ett
av de övergripande syftena med nya dataskyddsförordningen är att harmonisera lagstiftningen
för dataskydd bland medlemsländerna. Den nya dataskyddsförordningen kommer ha direkt ef-
fekt i samtliga medlemsstater vilket underlättar för de personuppgiftsansvariga som verkar i
flera länder inom EU. Istället för att som tidigare behöva beakta 27 olika medlemsländers nat-
ionella lagstiftning med anledning av dataskyddsdirektivet har man istället endast en data-
skyddsförordning att förhålla sig till (i vart fall rent regelmässigt) i Europas inre marknad.6 I
det här avseendet kommer nya dataskyddsförordningen även erbjuda en harmoniserad process-
och ärendehantering mellan dataskyddsmyndigheter samt (till viss del) harmoniserad praxis-
bildning inom hela Europa genom den nya europeiska dataskyddsstyrelsen7 som ska etableras.
Sammanfattningsvis kan det konstateras att personuppgiftsansvariga som verkar i flera länder
inom EU kommer få ett mer harmoniserat regelverk att förhålla sig till. Däremot bör det här
påpekas att förordningen fortfarande lämnar utrymme för viss nationell särlagstiftning, exem-
pelvis avseende kompletteringslagstiftning för att harmonisera nationell yttrande- och inform-
ationsfrihet8 eller avseende dataskydd i anställningsförhållanden9.
En annan aspekt med nya dataskyddsförordningen, vilket kommer bli ett återkommande tema i
den här uppsatsen, är att det är fråga om teknikneutral lagstiftning.10 Med teknikneutral lagstift-
ning menas i huvudsak reglering som är flexibel och oberoende av vilken teknik som används
för att uppnå ett visst syfte eller mål. När regleringen kring vilka medel som används för att
uppnå ett visst mål suddas ut, blir ändamålet med regleringen mer avgörande.11 Till sin natur är
dataskyddsförordningen ett teknikintensivt rättsområde där förodningen avser skyddet och han-
6 Verksamheter som behandlar personuppgifter kan såklart träffas av annan speciallagstiftning med anledning av
behandlingen av personuppgifter men vi kommer fortsättningsvis begränsa oss till dataskyddsfrågor som följer av
nya dataskyddsförordningen. 7 Bildas på grundval av art. 68 dataskyddsförordningen och övertar rollen som artikel 29-gruppen haft, fast med
formellt utökade befogenheter enligt art. 70 dataskyddsförordningen. 8 Art. 85 dataskyddsförordningen 9 Art. 88 dataskyddsförordningen 10 Ingressen p. 15 dataskyddsförordningen 11
Magnusson Sjöberg, s. 215 ff
8
teringen av personuppgifter och i dagens digitaliserade samhälle sker hantering av sådana upp-
gifter i regel på elektronisk väg. Artikel 29-gruppen12 har i ett yttrande 2009 på förfrågan av
EU Kommissionen, i deras översyn av det juridiska ramverket kring skyddet av personuppgif-
ter, meddelat att en teknikneutral lagstiftning är att föredra.13 Artikel 29-gruppen menar att en
anledning till att dataskyddsdirektivet stått sig så pass bra under den tekniska utvecklingen och
globaliseringen beror på att den innehåller principer och koncept som är teknikneutrala, samt
att sådana principer och koncept har en förmåga att behålla sin relevans och giltighet över tid,
även när tekniken förändras.14 Mot bakgrund av detta kan teknikneutral lagstiftning ses som en
lovande, om inte nödvändig, metod för att lagstifta på ett teknikintensivt rättsområde och där
den tekniska utvecklingen rör sig fort. Men teknikneutral lagstiftning i sanktionerad skyddslag-
stiftning15 för också med sig ett särskilt tydligt problem, vilket är att den lämnar utrymme för
tolkning. Tolkningsutrymmet i regleringen är själva syftet med teknikneutral lagstiftning, där
tillämpningen av regleringen ska kunna anpassas med tiden och den tekniska utvecklingen.
Detta förhållande innebär ett tomrum i regleringen, mellan de allmänna principer som reglerar
syfte och mål, och de faktiska tekniska och organisatoriska åtgärder som den personuppgifts-
ansvarige vidtar för att uppnå dessa mål. Med tomrum i den här kontexten åsyftas ett förhållande
där tolkningsutrymmet som uppstår är ”tomt”, då det saknar rättskällor såsom praxis och dokt-
rin för att vägleda översättningen av mål och syften till praktiska tekniska och organisatoriska
åtgärder. Under de kommande åren kommer nationell särlagstiftning stiftas, uppförandekoder
godkänns, riktlinjer utfärdas och praxis utvecklas för att fylla det här tomrummet, men det kom-
mer ta tid och allting kommer inte vara på plats till den 25 maj 2018 när förordningen blir
tillämplig. Detta innebär att vissa personuppgiftsansvariga kommer vara tvungna att genomföra
tekniska och organisatoriska åtgärder inom det här tomrummet där det saknas vägledning för
hur målen ska nås, vilket uppenbarligen är förenat med risk då mål och syften i sanktionerad
skyddslagstiftning bör förstås som skyldigheter förenade med sanktionsavgifter vid bristande
efterlevnad.
12 Artikel 29-gruppen är en rådgivande och oberoende grupp bestående av företrädare för varje nationell datatill-
synsmyndighet i EU-medlemsstaterna. Gruppen bildades på grundval av artikel 29 i dataskyddsdirektivet (varav
namnet) i syfte för att verka för en enhetlig tillämpning av dataskyddsdirektivet, lämna yttrande till EU-kommiss-
ionen om skyddsnivån i gemenskapen och i tredje land samt ge råd till kommissionen om förslag till ändringar av
dataskyddsdirektivet. 13 The Future of Privacy, Artikel 29-gruppens yttrande 1 december 2009, 02359/09/EN WP168 14 Ibid, s. 12 punkt 42 15 Dataskyddsförordningen är i grunden en skyddslagstiftning för en mänsklig rättighet om skydd för fysiska per-
soners personuppgifter samt den är sanktionerad med sanktionsavgifter för överträdelser av vissa av förordningens
artiklar.
9
1.2 Syfte och avgränsning
I centrum för den här uppsatsen står nya dataskyddsförordningen och mer specifikt de skyldig-
heter den för med sig för personuppgiftsansvariga såsom de definieras enligt förordningen.
Personuppgiftsbiträden kommer också få ett förändrat ansvar i nya dataskyddsförordningen och
förtjänar en mer noggrann genomgång än vad som ryms inom den här uppsatsen, och kommer
endast beröras i den utsträckning som de föranleder skyldigheter för personuppgiftsansvariga.
Med de personuppgiftsansvariges skyldigheter åsyftas de regler som personuppgiftsansvariga
måste följa för att kunna anses utföra personuppgiftsbehandling som är förenlig med förord-
ningen. Målet med uppsatsen är att göra en systematisk och översiktlig kartläggning av både
explicita och implicita skyldigheter som kan härledas ur dataskyddsförordningen. En avgräns-
ning kommer göras i dessa skyldigheter avseende överföringar av personuppgifter utanför EU
(tredjelandsöverföringar) för att begränsa omfattningen. Ansatsen är att göra en översiktlig ana-
lys vilket följer dels av utrymmesbegränsningen i uppsatsen samt dels att det i skrivandes stund
saknas praxis och doktrin för att göra djuplodande analyser i enskilda artiklar i förordningen.
Till detta vill jag också vidhålla att det finns ett påkallat behov för att göra en systematisk och
kartläggande bild för vilka skyldigheter som dataskyddsförordningen innebär för personupp-
giftsansvariga, samt att detta görs utifrån förordningstexten, då denna har direkt effekt.
En avgränsning görs också gentemot kommuner och statliga myndigheter. Området för offent-
lig förvaltning (e-förvaltning16) kommer även påverkas av nya dataskyddsförordningen i stor
utsträckning men frågeställningar angående den offentliga förvaltningens påverkan med anled-
ning av förordningen kommer inte rymmas inom den här uppsatsen.
I syfte att behålla fokus på dataskyddsförordningen kommer den följande framställningen inte
göra en komparativ jämförelse med dataskyddsdirektivet eller personuppgiftslagen. Däremot
har uppsatsen som ambition att tjäna som grund för en sådan analys.
1.3 Problemformulering och disposition
Förhållandet att dataskyddsförordningen innehåller teknikneutral sanktionerad skyddslagstift-
ning kan innebära svårigheter för dem som träffas av bestämmelserna i att förstå exakt vad
skyldigheterna innebär och vad som krävs av dem för att efterkomma dessa. Den här proble-
matiken kan illustreras med ett exempel på en av skyldigheterna enligt dataskyddsförordningen
samt dess sanktion. Art. 25 i dataskyddsförordningen anger att ”Med beaktande av den senaste
16 E-förvaltning utgör en vedertagen beteckning på en offentlig förvaltning där informations- och kommunikat-
ionsteknik spelar en central roll.
10
utvecklingen … ska den personuppgiftsansvariga … genomföra lämpliga tekniska och organi-
satoriska åtgärder ... så att kraven i denna förordning uppfylls och den registrerades rättigheter
skyddas.”. Ovanstående skyldighet är dessutom sanktionerad genom art. 83.4 med administra-
tiva sanktionsavgifter ”… på upp till 10 000 000 Euro eller, om det gäller ett företag, på upp till
2% av totala globala årsomsättningen föregående budgetår, beroende på vilket värde som är
högst.” Hur gör man som personuppgiftsansvarig för att bedöma vad som utgör en lämplig
teknisk och organisatorisk åtgärd under dessa omständigheter? Går det ens att säkerställa?
Ovanstående exempel kan dessutom byggas på med att där även finns krav i art. 24 att den
personuppgiftsansvarige inte bara ska genomföra lämpliga åtgärder utan även kunna visa att
dessa är lämpliga och efterlevs. För att konkretisera den här problemformuleringen kommer
den här uppsatsen att försöka svara på följande frågeställningar;
1. Vilka skyldigheter för personuppgiftsansvariga kan man härleda ur dataskyddsförord-
ningen?
2. Hur ska dessa skyldigheter förstås med avseende på de åtgärder den personuppgiftsan-
svarige behöver vidta?
I kapitel 2 kommer kartläggningen av den personuppgiftsansvariges skyldigheter presenteras
vilket utgör huvuddelen och kärnan i den här uppsatsen. Här kommer skyldigheterna presente-
ras och analyseras och vissa artiklar ges mer utrymme än andra beroende på vilka tolkningsfrå-
gor de ger upphov till. Avsnitt 2.1 behandlar tillämpligheten av dataskyddsförordningen vilket
förvisso inte bör betraktas som skyldigheter men som en nödvändig utgångspunkt för att förstå
vem som träffas av skyldigheterna. Avsnitt 2.2 behandlar grundläggande villkor för personupp-
giftsbehandling vilka även bör förstås som grundläggande skyldigheter. Avsnitt 2.3 presenteras
de registrerades rättigheter såsom de uttrycker sig som skyldigheter för personuppgiftsansva-
riga. Avsnitt 2.4 handlar om den personuppgiftsansvariges allmänna skyldigheter. Avsnitt 2.5
behandlar de administrativa sanktionsavgifterna och jag rekommenderar läsaren att börja med
att gå igenom avsnitt 2.5.1 om sanktionsavgiftsgrundande bestämmelser då dessa sanktioner är
återkommande för flertalet av skyldigheterna.
Kapitel 3 presenterar en sammanställning av skyldigheterna samt för en sammanfattande dis-
kussion om den personuppgiftsansvariges skyldigheter. I avsnitt 3.2 förs en diskussion med
anledning av utvecklingen av soft law på dataskyddsområdet samt vad detta innebär för den
personuppgiftsansvarige.
11
1.4 Metod
Eftersom den här uppsatsen behandlar nya dataskyddsförordningen som förvisso är beslutad
men ännu inte trätt ikraft, är det med andra ord inte gällande rätt som ska utredas utan snarare
ett kommande rättsförhållande. Detta i kombination med att dataskyddsförordningen utgör EU-
rätt innebär att rättsdogmatisk metod inte lämpar sig för den här uppsatsen. Rättsdogmatisk
metod tar sin utgångspunkt i de svenska traditionella rättskällorna vilket vore begränsande för
den här uppsatsen. Som bekant utgörs de svenska rättskällorna av lagstiftning, praxis, förarbe-
ten och doktrin (eventuellt med tillägg av sedvänja) varav metoden hade begränsat materialet i
den här uppsatsen till endast avse dataskyddsförordningen i egenskap av svensk lag genom
direkt effekt. Av utrymmesskäl finns inte möjlighet till att mer ingående redogöra för förutsätt-
ningarna för direkt effekt men utgångspunkten är att om en europeisk rättsregel är tillräckligt
klar, precis och ovillkorlig för att nationella rättstillämpare ska kunna lägga den till grund för
en rättslig prövning, så ska så ske.17
Vad gäller praxis så har det naturligt sett inte bildats än då dataskyddsförordningen ännu inte
blivit tillämplig. Man skulle däremot kunna analysera i vilken omfattning praxis som bildats ur
dataskyddsdirektivet har fortsatt tillämplighet i dataskyddsförordningen men på grund av syftet
med den här uppsatsen och av utrymmesskäl kommer sådana ansatser inte göras.18 Vidare har
det upprättats flera dokument under beredningen av dataskyddsförordningen och EU kommiss-
ionen har presenterat flera förslag på dataskyddsförordning innan Europaparlamentet slutligen
röstade igenom förordningen. Dessa dokument kan benämnas förarbeten och när det gäller så-
dana kan det konstateras att de traditionellt inte haft någon stark ställning inom EU-rätten. An-
gående dessa förarbeten så har de inte egenskap av rättskälla inom den europeiska rättsord-
ningen19 till skillnad från den svenska. Avslutningsvis ska också påpekas att eftersom data-
skyddsförordningen är så pass ny i skrivandes stund (stiftades 26 april 2016) så är doktrinen på
ämnet fortfarande sparsamt.
Mot bakgrund av ovannämnda skäl, så kommer huvudsakligen EU-rättslig metod användas i
uppsatsen. Lika lite som det finns en svensk metod kan det sägas finnas en EU-rättslig metod.
17 Korling och Zamboni, s. 123 18 Däremot vill jag som passus påpeka för den intresserade läsaren att Google Spain-målet eventuellt kan utgöra
en intressant analys i det här avseendet där EU domstolen dömde utefter dataskyddsdirektivet men använde sig i
domskälen av en slående formulering ”rätten att bli glömd” som då närmast kunde återfinnas i kommissionen
utkast till förslag för dataskyddsförordningen. 19 Mål 26/62 Van Gend en Loos mot Nederlandse Administraie der Belastingen, REG 1963, svensk specialutgåva
I, s. 161.
12
Man kan säga att en EU-rättslig metod bygger på hur de EU-rättsliga källorna bör tolkas och
tillämpas vilket lämpar sig väl för den här uppsatsen.
EU-rättslig metod innebär att fördragen konsulteras i första hand och att rättsfall från EU-dom-
stolen, förordningar och direktiv beaktas i andra hand.20 Dessa rättskällor tolkas utifrån deras
tillkomst, syften och systematik.21 Med den här metoden som utgångspunkt kommer i första
hand en lexikalisk lagtolkningsmetod (bokstavstolkning) av förordningstexten (dataskyddsför-
ordningen) att göras. Detta kompletteras med en systematisk lagtolkning för att dels förstå be-
stämmelserna i förhållande till varandra, för att presentera ämnet mer ändamålsenligt då det
endast är den personuppgiftsansvariges perspektiv som behandlas. Inom den EU-rättsliga me-
toden får också den teleologiska lagtolkningsmetoden22 en mer framträdande roll i förhållande
till andra lagtolkningsmetoder (som lexikalisk tolkning, systematisk tolkning etc.),23 vilket har
visat sig i EU-domstolens praxis. I det här arbetet kommer jag däremot använda den teleolo-
giska tolkningen mer försiktigt eftersom syftet med uppsatsen är att kartlägga skyldigheterna
som dataskyddsförordningen föranleder för den personuppgiftsansvariga och att presentera äm-
net utefter en teleologisk tolkning skulle verka menligt på den övergripande analysen och kräva
för mycket utrymma för att motverka.
EU-domstolen har funnit att nationella myndigheter och domstolar kan vara skyldiga att an-
vända soft law som tolkningsunderlag, när den har till syfte att utfylla bindande EU-rättsliga
bestämmelser. Begreppet soft law i en EU-rättslig kontext kan sägas utgöra formellt icke-bin-
dande rättsakter, exempelvis resolutioner, rekommendationer och uppförandekoder samt dess
tillämpning och funktion. Praxis visar på att de formellt icke-bindande rättsakterna skiljer sig
åt i fråga om deras bindande verkan, med resultatet att den normerande verkan av soft law är
olika från fall till fall. I den EU-rättsliga metod som används i den här uppsatsen kommer soft
law få en mer framträdande roll då förordningstexten uttryckligen hänvisas till bland annat upp-
förandekoder såsom vägledning för hur vissa av bestämmelserna ska förstås och tillämpas.
Även i praktiken har de icke-bindande dokumenten inte sällan en påtaglig normerande verkar.24
20 Korling och Zamboni, s. 110 ff. 21 Se bl.a. mål C-386/05, Color Drack GmbH v Lexx International Vertriebs GmbH, [2007], ECR I-03699, mål C-
204/08, Peter Rehder v Air Baltic Corporation, [2009] ECR I-06073, mål C-381/08, Car Trim GmbH v KeySafety
Systems Srl., [2010] ECR I-01255, och mål C-19/09, Wood Floor Solutions Andreas Domberger GmbH v Silva
Trade SA, [2010] ECR I-02121. 22 Teleologisk lagtolkning innebär att bestämmelsen tolkas efter sitt ändamål eller syfte. 23 Korling och Zamboni, s. 122 24 Magnusson Sjöberg, s. 127 f
13
Vilket verkar vara högst troligt vad ankommer dataskyddsförordningen som i flera artiklar di-
rekt hänvisar till formellt icke-bindande dokument som vägledning för hur artiklarna ska för-
stås.
14
2 Kartläggning av personuppgiftsansvariges skyldigheter
I den följande framställningen kommer alla artikel- och ingresshänvisningar göras till data-
skyddsförordningen om inget annat anges.
Vad gäller området för hantering av personuppgifter kommer nya dataskyddsförordningen in-
nebära stora förändringar. Det är resultatet av en dataskyddsreform som EU Kommissionen
genomfört. Kommissionen initierade sitt arbete redan 2009 och lade fram sitt första förslag till
EU parlamentet 2012 vilket sedan förhandlats och omarbetats genom olika institutioner under
fyra år för att i april 2016 anta slutversionen av förordningen. Vid tidpunkten för författandet
av den här uppsatsen är förordningen så pass ny att någon rättsdogmatisk doktrin fortfarande
inte publicerats på ämnet, dock så har förordningen omnämnts i flera publikationer men då
utifrån förordningens tidigare versioner och innan förordningen antagits av EU parlamentet.
Med beaktande av förändringen av rättsläget på området för dataskyddsförordningen kommer
det här kapitlet översiktligt kartlägga kravställningen ur ett perspektiv från en personuppgifts-
ansvarig.
2.1 När dataskyddsförordningen är tillämplig
Det övergripande syftet med nya dataskyddsförordningen är att ge fysiska människor ett skydd
för deras personuppgifter vilket framgår av art. 1 i förordningen. Vidare anges i art. 2 att skyddet
för personuppgifter är en grundläggande rättighet och i punkt 1 i ingressen anges att med grund-
läggande rättigheter menas art. 8.1 i Europeiska unionens stadga om de mänskliga rättighet-
erna25 (även kallad rättighetsstadgan eller bara stadgan) samt art. 16.1 i fördraget om Europe-
iska unionens funktionssätt (EUF-fördraget och även kallat funktionsfördraget). De grundläg-
gande mänskliga rättigheterna som stadgan och funktionsfördraget fastslår är att ”Var och en
har rätt till skydd av deras personuppgifter som rör honom eller henne”. Det är alltså detta skydd
för personuppgifter som ska förstås som det skyddsvärda intresset dataskyddsförordningen vilar
på.
2.1.1 Materiellt tillämpningsområde.
Förordningens bestämmelser ska enligt art. 2.1 tillämpas på behandling av personuppgifter som
helt eller delvis företas på automatiserad väg samt annan behandling som ingår eller kommer
ingå i ett register.
25 Bindande rättsakt genom Lissabonfördraget
15
Som vi ser är det två situationer som aktualiseras där det antingen är fråga om behandling på
helt eller delvis automatiserad väg samt annan form av behandling som ingår eller kommer ingå
i ett register.
I det här avseendet ges behandling en bred definition och innebär mer eller mindre all form av
kontakt eller åtgärd med personuppgifter.26 Med register menas en strukturerad samling av per-
sonuppgifter som är tillgängliga enligt särskilda kriterier, oavsett om samlingen är centraliserad,
decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden.27 Vad
som menas med en personuppgift är varje typ av upplysning som direkt eller indirekt kan iden-
tifiera en fysisk persons fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller
sociala identitet.28 En förutsättning är däremot att den fysiska personen är i livet då förordningen
undantar behandling av personuppgifter rörande avlidna personer men det bör också påpekas
att detta undantag uttryckligen får regleras av medlemsstaterna genom nationell särlagstiftning.
Där finns dock några undantag för när dataskyddsförordningen inte är tillämplig vilka anges i
artikel 2.2. Dessa situationer gäller för när behandlingen av personuppgifter utgör ett led i en
verksamhet som inte omfattas av unionsrätten eller som medlemsstaterna utför när de bedriver
verksamhet som omfattas av avdelning V kapitel 2 i EU-fördraget29. Ytterligare två undantag
som förtjänar att särskilt uppmärksammas är behandling av personuppgifter som sker av rent
privat natur eller av behöriga myndigheter i brottsbekämpande verksamhet.
Dataskyddsförordningen är inte tillämplig när en fysisk person utför behandling av personupp-
gifter av rent privat natur eller som har samband med hans eller hennes hushåll.30 Att det endast
kan gälla fysiska personer bör följa av tolkningen i att en juridisk person per definition inte kan
vara av privat natur, varav undantaget endast kan bli aktuellt för fysiska personer. Vidare anges
det att med behandling av privat natur syftar på situationer som sker utan yrkes- eller affärs-
mässig verksamhet och exemplifieras med korrespondens och innehav av adresser, aktivitet i
sociala nätverk och internetverksamhet i samband med sådan verksamhet.31
26 Definitionen i art. 4.2 anges att med behandling avses en åtgärd såsom insamling, registrering, organisering,
strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring,
spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begräsning, radering eller förstöring. 27 Art. 4.6 28 Art. 4.1 29 Allmänna bestämmelser om unionens yttre åtgärder och särskilda bestämmelser om den gemensamma utrikes-
och säkerhetspolitiken. 30 Art. 2.2 c 31 Ingressen p. 18
16
Med undantaget brottsbekämpande verksamhet anges i art. 2.2 d att det endast gäller behöriga
myndigheters brottsbekämpande verksamhet.32 Den typen av verksamheten regleras istället ge-
nom Europaparlamentets och rådets direktiv (EU) 2016/68033 som tillsammans med data-
skyddsförordningen utgör det reformpaket som EU kommissionen lagt fram och sedermera par-
lamentet röstat igenom.
2.1.2 Territoriellt tillämpningsområde
Förordningen blir tillämplig vid två huvudsakliga fall vid behandling av personuppgifter. I det
första fallet avser det en fysisk eller juridisk person som inom ramen för en verksamhet, oavsett
associationsrättslig form, behandlar personuppgifter och är etablerad inom unionen, oavsett var
i världen personuppgifterna hänför sig till.34 Med etablerad inom unionen beskrivs det i ingres-
sen p. 22 att det avser verksamheter som utför personuppgiftsbehandling inom unionen; ”Verk-
samhetsställe innebär det faktiska och reella utförandet av verksamheten med hjälp av en stabil
struktur. Den rättsliga formen för en sådan struktur … bör inte vara den avgörande faktorn i
detta avseende.”
För det andra fallet är förordningen tillämplig oavsett var i världen verksamheten är etablerad,
men om behandlingen av personuppgifter hänför sig till registrerade som befinner sig i unionen
och om behandlingen har anknytning till utbjudande av varor och tjänster eller det är fråga om
övervakning av den registrerades beteende (förutsatt att det övervakade beteendet sker inom
unionen).35 Med formuleringen ”befinner sig i unionen” avser förordningen en tillämpning på
personer oavsett deras medborgarskap eller hemvist.36 För utbjudande av varor eller tjänster
räcker det att personuppgiftsansvarig eller personuppgiftsombud med behandlingen avser er-
bjuda de registrerade varor eller tjänster i en eller flera av unionens medlemsstater.37 Med över-
vakning avses om fysiska personer spåras på internet och om personuppgifterna därefter be-
handlas med teknik som profilerar personerna för att exempelvis fatta beslut rörande honom
eller henne, eller för att analysera eller förutsäga hans eller hennes personliga preferenser, be-
teende och attityder.38
32 Åtgärder i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påfölj-
der, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. 33 Ingressen punkt 19 34 Art. 3.1 35 Art. 3.2 36 Ingressen p. 14 37 Ingressen p. 23 38 Ingressen p. 24
17
Utöver dessa två huvudsakligen fall anges det i art. 3.3 att förordningen även är tillämplig vid
behandling av personuppgifter som utförs av en personuppgiftsansvariga som inte är etablerad
i unionen men på en plats där en medlemsstats nationella rätt gäller enligt folkrätten, med vilket
avses exempelvis en medlemsstats diplomatiska beskickning eller konsulat.39
2.2 Grundläggande villkor för behandling
Dataskyddsförordningens andra kapitel fastlår ett antal principer för hantering av personupp-
gifter samt hur den personuppgiftsansvarige principiellt ska förhålla sig till vissa typer av per-
sonuppgifter. Dessa principer ska inte bara vara vägledande och behjälpliga i att förstå och tolka
förordningens artiklar utan de är självständigt sanktionerade med antingen den högre eller lägre
nivån av administrativa sanktionsavgifter enligt art. 83.4 och 83.5.
2.2.1 Hanteringsregler
Dataskyddsförordningen fastslår i art. 5 ett antal allmänna principer för hantering av person-
uppgifter och som på flera håll i förordningen refereras till som dataskyddsprinciper. Samtliga
av dessa principer är sanktionerade med den högre sanktionsnivån. Dessa principer anger
grundläggande krav för behandling av personuppgifter och har tidigare presenterats som han-
teringsregler när dessa härletts ur dataskyddsdirektivet och personuppgiftslagen.40 För att un-
derlätta presentationen i den här uppsatsen kommer vi i det närmaste presentera dessa principer
synonymt med ”hanteringsregler” men det ska påpekas att när dataskyddsförordningen refere-
rar till dataskyddsprinciper så är det dessa hanteringsregler som åsyftas. Eftersom den här upp-
satsen gör flera korshänvisningar mellan förordningens olika artiklar och gör en tolkning utifrån
förordningens text har jag valt att behandla dessa hanteringsregler såsom principer, vilket är
förenligt med hur dataskyddsförordningen hänvisar till dem.
Det rör sig alltså om grundläggande krav för hantering av personuppgifter och art. 5.1 a anger
den första principen om Laglighet, korrekthet och öppenhet. Personuppgifterna ska hanteras
lagligt, korrekt och öppet i förhållande till den registrerade. Dataskyddsförordningen hänvisar
i ingressen p. 39 och 58 till öppenhetsprincipen vilket inte kan tolkas på något annat sätt än att
den hänvisar till den här principen i art. 5.1 a, vilket skulle kunna innebära att hela principen
ska förstås som öppenhetsprincipen eller att man kan härleda flera principer ur den här artikeln.
Oavsett om art. 5.1 a kan utgöra en eller flera principer kommer vi här inte utesluta någon av
39 Ingressen punkt 25 40 Magnusson Sjöberg, s. 170 ff
18
tolkningarna utan utgå ifrån att art. 5.1 a i vart fall innehåller en öppenhetsprincip. Som tidigare
nämnt är denna dataskyddsprincip, eller hanteringsregel, sanktionerad med den högre sankt-
ionsavgiften i art. 83.5. Principen konkretiseras bland annat genom laglig grund för behandling
(art. 6), informations- och kommunikationsprincipen (art. 12) samt den registrerades rättigheter
(art. 15–22). Samtliga artiklar kommer vi återkomma till senare.
Principen om ändamålsbegränsning art. 5.1 b anger att personuppgifter ”…ska samlas in för
särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som
är oförenligt med dessa ändamål…”. Detta innebär dels att ändamålet med insamlingen ska
fastställas och enligt art. 12–14 informeras den registrerade vid insamlandet av uppgifter, dels
att uppgifterna inte får behandlas med något ändamål som oförenligt med det för vilka uppgif-
terna samlades in. Ett undantag görs från ändamålsbegränsningen där ytterligare behandling
(utan uttryckligt ändamål vid insamlandet) medges om det avser allmänna, historiska, veten-
skapliga eller statistiska ändamål i enlighet med art. 89.1. Detta undantag kan även kombineras
med vissa inskränkningar i den registrerades rättigheter men dessa behöver då lagstiftas nation-
ellt (art. 89.2–3). Detta undantag, som utgör en lättnad i ändamålsbegränsningen, ställer däre-
mot högre krav avseende kraven på uppgiftsminimering och lagringsminimering i att den regi-
strerades uppgifter ska minskas och pseudonymiseras i den utsträckning som det är möjligt.
Principen om uppgiftsminimering art. 5.1 c anger att personuppgifterna som behandlas ”… ska
vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de be-
handlas”. Den personuppgiftsansvarige får alltså inte samla in mer uppgifter från den registre-
rade än vad som är nödvändigt för att uppfylla ändamålet med behandlingen. Mängden insam-
lade uppgifter ska stå i proportion till ändamålet med behandlingen.
Principen om korrekthet art. 5.1 d anger att personuppgifterna ska vara korrekta och om nöd-
vändigt uppdaterade samt att alla rimliga åtgärder vidtas för att säkerställa att personuppgifter
som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan
dröjsmål. Den principen yttrar sig även genom vissa av den registrerades rättigheter i art. 16–
19 vilka utgörs av rätten till rättelse, rätten till radering och rätten till begränsning. Om någon
av dessa åtgärder vidtas och den personuppgiftsansvarige har lämnat ut uppgifterna till tredje
part har den personuppgiftsansvariges även en anmälningsskyldighet att underrätta dem som
personuppgifterna har lämnats ut till enligt art. 19, givet att detta inte är omöjligt eller medför
en oproportionell ansträngning.
19
Principen om lagringsminimering i art 5.1 e anger att personuppgifterna ”… inte får förvaras i
en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nöd-
vändigt för de ändamål för vilka personuppgifterna behandlas…”. I det här avseendet kan vi
exempelvis föreställa oss en situation där en personuppgiftsansvarige levererar flera tjänster till
den registrerade, som därefter väljer att avsluta en utav tjänsterna men att fortsätta använda de
övriga. I det här fallet kan vi föreställa oss att där föreligga rimliga skäl för den personuppgift-
sansvariga att lagra personuppgifterna rörande tjänsten som avslutades och därmed ska beakta
principen om lagringsminimering. Här kommer man även in på gränsdragningsfrågan mellan
anonym information och pseudonymisering. Enligt ingressen p. 26 utgör anonym information
sådana personuppgifter som avidentifieras till den grad att de inte längre kan sägas hänföra sig
till en identifierbar fysisk levande person och därmed ska förordning inte heller tillämpas på
sådan information, vilket även följer av legaldefinitionen i art. 4.1 att såsom personuppgift av-
ses en upplysning som avser en identifierad eller identifierbar fysisk person. Å andra sidan har
vi uppgifter som pseudonymiserats och med hjälp av kompletterande information går att iden-
tifiera en fysisk person. Ingressen p. 26 beskrivs det enligt följande;
Principerna för dataskyddet bör gälla all information som rör en identifierad eller identifierbar
fysisk person. Personuppgifter som har pseudonymiserats och som skulle kunna tillskrivas en
fysisk person genom att kompletterande uppgifter används bör anses som uppgifter om en iden-
tifierbar fysisk person. För att avgöra om en fysisk person är identifierbar bör man beakta alla
hjälpmedel, som t.ex. utgallring, som antingen av den personuppgiftsansvarige eller av annan
person, rimligen kan komma att användas för att direkt eller indirekt identifiera en fysisk person
Pseudonymiserade personuppgifter är alltså information som går att identifiera en fysisk person
om kompletterande åtgärder vidtas och därmed ska sådan information behandlas enligt förord-
ningen. Ingressen p. 26 utvecklar något mer kring gränsdragningsfrågan men vi kan inte dra
några slutsatser i det här läget i gränsdragningsproblematiken för vad som krävs för att uppgif-
terna ska anses pseudonymiserade eller när dessa övergår till att utgöra anonyma uppgifter.
Sammanfattningsvis kan vi säga att principen om lagringsminimering kräver att den person-
uppgiftsansvarige pseudonymiserar personuppgifterna i den mån det är nödvändigt men exakt
vad som krävs för att uppnå pseudonymisering är oklart. Principen om lagringsminimering har
även ett samma undantag som ändamålsbegräsningen vilket gäller för uppgifter som lagras för
allmänna, historiska, vetenskapliga eller statistiska ändamål i enlighet med art. 89.1.
20
Principen om integritet och konfidentialitet i art. 5.1 f. anger att den personuppgiftsansvarige
ska genom användning av lämpliga tekniska och organisatoriska åtgärder ”… säkerställa lämp-
lig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och
mot förlust, förstöring eller skada genom olyckshändelse.”. Kravet berör själva informations-
säkerheten vid behandlingen vilket vi behandlar utförligare i avsnitt 2.4.7 (informationssäker-
het).
Principen om ansvarsskyldighet i art. 5.2 fastslår den personuppgiftsansvariges ansvarar för att
dessa dataskyddsprinciper efterlevs samt för att kunna visa att dem efterlevs. Dataskyddsprin-
ciperna är redan sanktionerade var för sig vilket innebär att den här principen snarare är ett
tydligt ställningstagande för att den personuppgiftsansvarige har ett ansvar för att dessa princi-
per efterlevs. Samtidigt slår den fast att den personuppgiftsansvarige är skyldig att kunna visa
att dem efterlevs vilket i förläggningen innebär att den personuppgiftsansvarige har bevisbördan
vid en tillsyn eller en eventuell tvist. Hur den personuppgiftsansvarige ska gå tillväga för att
visa att bestämmelserna efterlevs är oklart i dagsläget. Förordning anger i ingressen p. 77 att
till vägledning för den personuppgiftsansvarige, avseende påvisandet av att behandlingen är
förenlig med förordningen, ges genom godkända uppförandekoder, godkänd certifiering, rikt-
linjer från styrelsen (dataskyddsstyrelsen) eller genom anvisningar från ett dataskyddsombud.
Vad som är problematiskt här är att uppförandekoder, certifiering och riktlinjer från styrelsen
inte tillkommit än, och kommer rimligtvis dröja ytterligare även från det att förordningen blir
tillämplig. Ett dataskyddsombud kan inte heller ge anvisningar då denne är beroende av de
övriga källorna utvecklas.
2.2.2 Laglig grund för behandling av personuppgifter
En förutsättning för personuppgiftsbehandlingen ska vara laglig är att behandlingen görs på en
laglig grund enligt art. 6 eller art. 9. Bestämmelsen är även sanktionerad med den högre sankt-
ionsnivån i art. 83.5 och kräver att något av villkoren i art. 6.1 a-f eller 9.2 a-j är uppfyllt. Art.
9 avser regling kring särskilda kategorier av personuppgifter, eller även benämnt känsliga per-
sonuppgifter, och behandlas i avsnitt 2.2.3. I det följande kommer vi behandla den rättsliga
grunder som följer av art. 6.
Samtycke från den registrerade till behandlingen utgör laglig grund (art. 6.1 a) och kan ges för
ett eller flera specifika ändamål. Legaldefinitionen av samtycke ges i art. 4.11 och beskrivs
enligt följande; ”Varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom
vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande hand-
ling, godtar behandling av personuppgifter som rör honom eller henne”. Om behandlingen
21
grundar sig på samtycke behöver den personuppgiftsansvarige kunna visa att den registrerade
lämnat sitt samtycke (art. 7.1) och eftersom den registrerade har rätt att när som helst dra tillbaka
sitt samtycke måste det vara lika lätt för den registrerade att dra tillbaka sitt samtycke som det
var att lämna det (art. 7.3). Om den registrerade lämnar sitt samtycke i en skriftlig förklaring,
som även rör andra frågor, så måste begäran om samtycke läggas fram på ett begripligt sätt som
klart och tydligt kan särskiljas från de andra frågorna (art. 7.2). Samtycket bygger på en frivil-
lighet från den registrerades sida till behandlingen och förordningen tar upp ett antal villkor i
ingressen p. 42 och 43 för att frivilligheten ska anses uppfylld. I punkt 42 anger förordningen
att om begäran om samtycke som den personuppgiftsansvarige i förväg formulerat (läs standar-
diserat) så bör förklaringen om samtycke följa rådets direktiv 93/13/EEG41 om oskäliga villkor
i konsumentavtal och tillhandahållas i en begriplig, lätt tillgänglig form och med användning
av ett klart och tydligt språk och utan oskäliga villkor. Om förklaringen av samtycke från den
registrerade kan anses som ett oskäligt villkor enligt direktivet om oskäliga villkor i konsument-
förhållande kommer det mest troligtvis även rendera att samtycke inte anses föreligga enligt
dataskyddsförordningen och därmed inte heller någon laglig grund för behandling (givet att
ingen av dem andra lagliga grunderna föreligger). Samtycke bör inte betraktas som frivilligt om
den registrerade inte har någon genuin eller fri valmöjlighet eller inte utan problem kan vägra
eller ta tillbaka sitt samtycke. Vidare anges i ingressen punkt. 43 att samtycke inte kan anses
frivilligt om det inte medger separata samtycken lämnas för olika behandlingar av personupp-
gifter, trots att detta är lämpligt i det enskilda fallet. Bristen på frivillighet i samtycket gäller
också för om det vid genomförande av avtal (exempelvis tillhandahållandet av en tjänst) är
avhängigt ett samtycke till personuppgiftsbehandling, trots att samtycket inte är nödvändigt för
ett sådant genomförande av avtalet eller tjänsten. Vidare anges i ingressen punkt 43 att för att
samtycket ska anses informerat bör den registrerade, i vart fall, känna till den personuppgifts-
ansvariges identitet och syftet med behandlingen för vilka personuppgifterna är avsedda.
Vad ankommer barn så kan de endast lämna sitt samtycke från 16 års ålder enligt art. 8.1 och
denna åldersgräns kan bli föremål för nationell särlagstiftning innebärandes att vissa medlems-
stater kan sätta åldersgränser ned till 13 år (men inte lägre). Det särskilda samtyckesvillkoret
för barn gäller för personuppgiftsbehandlingen avseende informationssamhällets tjänster, det
vill säga tjänster som vanligtvis utförs mot ersättning på distans, på elektronisk väg och på
41 Rådets direktiv 93/13/EEG av den 5 april 1993 om oskäliga villkor i konsumentavtal (EGT L 95, 21.4.1993, s.
20)
22
individuell begäran av en tjänstemottagare enligt legaldefinitionen i art. 4.2542. Är barnet 15 år
eller yngre (och beroende av nationell särlagstiftning) behöver den person som har föräldraan-
svar över barnet lämna sitt samtycke eller godkänna barnets samtycke enligt art. 8.1. För dessa
fall behöver även den personuppgiftsansvarige göra rimliga ansträngningar med hänsyn till da-
gens tillgängliga teknik för att kontrollera att samtycket eller godkännandet ges av den som har
föräldraansvaret över barnet.
Laglig grund för behandling föreligger också enligt art. 6.1 b när behandlingen är nödvändig
för att fullgöra ett avtal i vilket den registrerade är part eller vidta åtgärder på begäran av den
registrerade innan ett sådant avtal ingås. Uppgifter som har en naturlig del av ett avtal får där-
med behandlas inom ramen för avtalet, men ska naturligtvis behandlas i enlighet med denna
förordning. Tänk dock på överskottsinformation inte gäller, eller?!
Art. 6.1 c anger att laglig grund för behandling föreligger när behandlingen är nödvändig för
att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Den rättsliga för-
pliktelsen ska följa av unionsrätten eller en medlemsstats nationella rätt (art. 6.3) och det är med
andra ord fråga om annan lag som den personuppgiftsansvarige är skyldig att följa.
Art. 6.1 d är tillämplig för de fall behandlingen är nödvändig för att skydda intressen som är av
grundläggande betydelse för den registrerade eller för annan fysisk person. I ingressen punkt
46 anges att denna grund i princip endast bör bli aktuell om behandlingen inte uppenbart kan
ha en annan rättslig grund. I ingressen anges även vissa typer av behandlingar som kan tjäna
intressen som är av grundläggande betydelse för den registrerade eller annan fysisk person,
exempelvis; humanitära skäl som att övervaka epidemier och deras spridning eller humanitära
nödsituationer som vid naturkatastrofer eller katastrofer orsakade av människan.
Art. 6.1 e anger att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller
som ett led i den personuppgiftsansvariges myndighetsutövning. Den här grunden avser främst
den statliga förvaltningen (exempelvis myndighetsutövning), vilket vi uttryckligen avgränsat
från denna uppsats.
Laglig grund för behandling föreligger även enligt art. 6.1 f behandlingen är nödvändig för
ändamål som rör den personuppgiftsansvarige eller en tredje parts berättigade intressen, om
inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och
42 Som hänvisar till definitionen i art. 1.1 b i Europaparlamentets och rådets direktiv (EU) 2015/1535 av den 9
september 2015 om ett informationsförfarande beträffande tekniska föreskrifter och beträffande föreskrifter för
informationssamhällets tjänster (EUT L 241, 17.09.2015, s. 1)
23
kräver skydd av personuppgifter. Vägledning för hur bedömningen i det berättigade intresset
ska förstås ges i ingressen p. 47–49. Den personuppgiftsansvarige ska väga sitt intresse för
personuppgiftsbehandling eller utlämnande till tredje part (vilket kan utgöra rättslig grund för
behandling) mot den registrerades intresse av att skydda personuppgifterna, med beaktande av
den registrerades rimliga förväntningar i förhållande till den personuppgiftsansvarige. Sådan
bedömning ska innehålla ett ställningstagande för huruvida den registrerade vid tidpunkten för
inhämtandet av personuppgifterna och i samband med detta rimligen kan förvänta sig att en
uppgiftsbehandling för detta ändamål kan ske. Några typer av behandlingar där berättigat in-
tresse kan föreligga är exempelvis när den registrerade är kund eller anställd hos den person-
uppgiftsansvarige, när det är absolut nödvändigt för att förhindra bedrägerier, överföringar
inom en koncern, direktmarknadsföring eller absolut nödvändigt och proportionellt för att sä-
kerställa nät- och informationssäkerhet. Ovanstående exempel innebär inte att ett berättigat in-
tresse per automatik föreligger för den personuppgiftsansvarige, utan endast att det är behand-
lingsverksamheter där typiskt sett berättigade intresse kan förekomma. En bedömning behöver
fortfarande göras av den personuppgiftsansvarige och sätter man detta i förhållande till att över-
trädelser av den lagliga grunden för behandlingen är sanktionerad med den högre sanktionsni-
vån bör den personuppgiftsansvarige även dokumenterar bedömningen för att kunna visa att
behandlingen är förenlig med dataskyddsförordningen.
2.2.3 Känsliga personuppgifter
Dataskyddsdirektivet 95/46/EG anger i art. 8 ett förbud mot behandling av särskilda kategorier
av personuppgifter tillsammans med ett antal undantag för när sådan behandling kan anses till-
låten. I den svenska personuppgiftslagen (1998:204) införlivas dataskyddsdirektivet och i 13 §
rubriceras dessa särskilda kategorier av personuppgifter såsom känsliga personuppgifter. Med
formuleringen i dataskyddsförordningens art. 9 behandling av särskilda kategorier av person-
uppgifter kommer vi, i avseende att behålla kontinuitet i terminologin, behålla översättningen
känsliga personuppgifter. Även dataskyddsförordningens art. 9 anger ett tydligt förbud mot
behandling av känsliga personuppgifter samt vilka undantag som gäller för bestämmelsen. De
typer av personuppgifter som där föreligger ett behandlingsförbud mot anges i art. 9.1 till föl-
jande; ras, etniskt ursprung, politiska åsikter, religiösa eller filosofisk övertygelse, medlemskap
i fackförening, genetiska uppgifter, biometriska uppgifter för att identifiera en fysisk person,
hälsa, sexualliv och sexuell läggning. Därefter följer de typer av personuppgifter eller behand-
lingsverksamheter som undantas från förbudet i art. 9.2 a-j, för vilka jag närmare kommer re-
dogöra här nedan.
24
Den registrerade kan lämna sitt samtycke till att sådan behandling (art. 9.2 a), förutsatt att EU-
rätten eller medlemsstaternas nationella rätt inte föreskriver att förbudet inte kan upphävas av
den registrerade. Det är även troligt att eventuella bedömningsgrunder för tolkningsfrågor rö-
rande samtycket kan härledas från hur samtycket behandlas såsom laglig grund i art. 6.1 a med
tillhörande bestämmelser i art. 7 och 8. Däremot finns det inget uttryckligen angivet i data-
skyddsförordningen om att samtyckesreglerna, exempelvis avseende frivillighet, är tillämpliga
för känsliga personuppgifter. Om man däremot beaktar att dataskyddsförordningen anger att
känsliga uppgifter till sin natur är särskilt känsliga med hänsyn till de grundläggande rättighet-
erna och friheter bör de åtnjuta särskilt skydd43 vore det ett rimligt antagande att samtycket
avseende känsliga uppgifter i vart fall ska gälla under samma förutsättningar som vid art. 6.2 a.
Vidare kan den registrerade även medge till personuppgiftsbehandling om denne på ett tydligt
sätt har offentliggjort uppgifterna sedan tidigare (art. 9.2 e). Ett närliggande undantag anges
också för när den registrerade inte har fysisk eller rättslig möjlighet att lämna sitt samtycke men
personuppgiftsbehandlingen är nödvändig för att skydda den registrerade eller någon annan
fysisk persons grundläggande intressen (art. 9.2 c). Undantag föreligger också för vissa verk-
samheter och organisationer med ett berättigat eller nödvändigt intresse i personuppgiftsbe-
handlingen. Stiftelser, föreningar eller andra icke-vinstdrivande organ som har ett politiskt, re-
ligiöst eller fackligt berättigat syfte får behandla därtill känsliga uppgifter givet att behandlingen
endast rör dess nuvarande eller tidigare medlemmar eller personer som på grund av verksam-
hetens ändamål har en regelbunden kontakt med detta (art. 9.2 d). Samma sak gäller för dom-
stolar som har ett nödvändigt intresse av att behandla personuppgifter för att fastställa, göra
gällande, försvara rättsliga anspråk eller som en del av deras dömande verksamhet (art. 9.2 f).
Vissa områden för behandlingsverksamheter är undantagna när det gäller arbetsliv, social trygg-
het och socialt skydd givet att behandlingen är nödvändig för den personuppgiftsansvarige för
att fullgöra sina skyldigheter eller utöva sina rättigheter enligt unionsrätten eller medlemssta-
ternas nationella rätt (art. 9.2 b). Här bör det påpekas att områdena för social trygghet och socialt
skydd framförallt är tillämpliga i den offentliga förvaltningen men att området för arbetsliv kan
bli högst aktuellt för personuppgiftsansvariga som bedriver näringsverksamhet. Dataskyddsfrå-
gor som berör arbetslivet är en av de särskilda behandlingssituationerna i dataskyddsförord-
ningen tionde kapitel som är öppen för medlemsstaterna att lagstifta om vilket framgår av art.
88 (behandling i anställningsförhållanden). Det innebär att vi i dagsläget inte vet hur regleringen
43 Ingressen p. 51 Dataskyddsförordningen.
25
kring dataskyddsfrågor inom arbetslivet kommer behandlas i Sverige. Ett annat och mer mång-
fasetterat område är där behandlingen är nödvändig av skäl som hör samman med hälso- och
sjukvårdsområdet. I art. 9.2 h nämns flera kategorier inom detta område som är undantagna
behandlingsförbudet under förutsättning att den personuppgiftsansvarige som behandlar upp-
gifterna omfattas av tystnadsplikt, exempelvis genom sekretesslagstiftning. Detta kan exempel-
vis gälla för bedömning av arbetstagares arbetskapacitet, tillhandahållandet av hälso- och sjuk-
vårdstjänster och medicinska diagnoser.
För de fall en personuppgiftsansvarig avser behandla känsliga uppgifter enligt något av undan-
tagen ovan, ställer det även högre krav på att den personuppgiftsansvarige genomför lämpliga
skyddsåtgärder avseende behandlingen. Själva ”skyddet” i dataskyddet behöver därmed stärkas
upp och kan föranleda flera ytterligare skyldigheter för den personuppgiftsansvarige att beakta.
Enligt art. 24 har den personuppgiftsansvarige en allmän skyldighet att genomföra lämpliga
tekniska och organisatoriska åtgärder för att behandla personuppgifter i enlighet med data-
skyddsförordningen, vilket i förläggningen innebär en bedömningsfråga i lämpligheten i åtgär-
derna med bland annat beaktande av risken i behandlingen. Om behandlingen avser känsliga
uppgifter påverkar detta lämpligheten i åtgärderna och hur risken ska bedömas, vilket vi går
närmare in på i kapitel 2.4.2. Den personuppgiftsansvarige har även en skyldighet att beakta
dataskyddsprinciper vid val av vilka medel (läs informationssystem) som behandlingen kom-
mer genomföras med, vilket regleras under rubriken inbyggt dataskydd i art. 25.1. Vid behand-
ling av känsliga uppgifter påverkar detta vilka nödvändiga skyddsåtgärder som den personupp-
giftsansvarige bör integrera i sådana informationssystem och närmare beskrivning av regle-
ringen kring inbyggt dataskydd går vi igenom i avsnitt 2.4.5. Även en skyldighet att föra regis-
ter över behandlingen inträder enligt art. 30 för små och medelstora företag som annars är un-
dantagna, vilket beskrivs närmare i avsnitt 2.4.8. Behandling av känsliga uppgifter ökar också
sannolikheten för att den personuppgiftsansvarige träffas av en skyldighet att utföra konse-
kvensbedömning enligt art. 35. Detta beror på att skyldigheten att genomföra konsekvensbe-
dömningar är beroende av en riskbedömning i förhållande till behandlingen och risken ökar vid
behandling av känsliga uppgifter. Skulle behandlingen av känsliga uppgifter utföras i stor om-
fattning inträder en obligatorisk skyldighet att utföra en konsekvensbedömning enligt art. 35.3
b. Utförligare resonemang kring konsekvensbedömning görs i avsnitt 2.4.4. Om behandlingen
av personuppgifter sker i stor omfattning kan detta även innebära en skyldighet för den person-
uppgiftsansvarige att utse ett dataskyddsombud enligt art. 37.1 c, för vilket behandlas i avsnitt
26
2.4.9. Bedömningsgrunder för vad som utgör omfattande behandlingsverksamhet är i dagsläget
oklart.
Avslutningsvis ska även nämnas att vad avser personuppgifter så är det lämnat till medlems-
staterna att lagstifta särskilt om enligt art. 87 (behandling av nationella identifikationsnummer).
Därmed vet vi inte i dagsläget hur personuppgifter (och nationella samordningsnummer för dem
som inte är folkbokförda i Sverige) kommer hanteras i Sverige efter det att dataskyddsförord-
ningen blir tillämplig. Det är däremot högst troligt att de i vart fall kommer behålla en särskilt
skyddad ställning såsom de haft i 22 § personuppgiftslagen (1998:204). Detta är däremot en
personlig reflektion från författarens sida på grundval av att dataskyddsförordningen rimligtvis
inte kommer försämra dataskyddet i förhållande till dataskyddsdirektivet varav det är ett anta-
gande att den svenska lagstiftaren även fortsättningsvis kommer behandla personnummer
såsom känsliga uppgifter.
27
2.3 Personuppgiftsansvariges skyldigheter med anledning av den registrerades
rättigheter
Den registrerades rättigheter utgör i flera fall den personuppgiftsansvariges skyldigheter. I det
följande kommer vi gå igenom ansvaret den personuppgiftsansvarige har för att säkerställa att
de registrerades rättigheter inte kränks. Samtliga av dessa rättigheter är sanktionerade med den
högre sanktionsnivån44 vilket innebär att det finns ett tydligt incitament för den personuppgifts-
ansvarige att efterkomma dessa bestämmelser. Art. 12 utgör en tydlig konkretisering av öppen-
hetsprincipen i art. 5.1 a och anger dels en skyldighet för den personuppgiftsansvarige att in-
formera den registrerade med visst innehåll enligt art. 13 och 14 när personuppgifterna samlas
in, dels en skyldighet att kommunicera med den registrerade enligt art. 15–22 och 34 efter den
registrerades begäran.
I den följande framställningen kommer jag göra en uppdelning av art. 12 till en informations-
skyldighet och en kommunikationsskyldighet. Anledningen till att jag väljer att göra en sådan
uppdelning är dels för att art. 12 innehåller bestämmelser som både reglerar skyldigheten att
informera och att kommunicera, dels att skyldigheten kan tolkas och bedömas olika beroende
på om skyldigheten avser en plikt att informera eller en plikt att kommunicera vilket också kan
innefatta en plikt att vidta en viss åtgärd. En sådan uppdelning underlättar även framställningen
av de respektive skyldigheterna och nyanserar bedömningsgrunderna på ett tydligare sätt. Jag
vill dock tydligt påpeka att dataskyddsförordningen inte framställer begreppen informations-
skyldighet eller kommunikationsskyldighet som sådant, utan dessa begrepp har jag valt att hämta
ur artikel 12 för att underlätta presentationen av ämnet. Man kan utläsa en tydlig avgränsning
där den registrerade har rätt till information enligt artiklarna 13 och 14 vars skyldighet uppstår
för den personuppgiftsansvarige när denne samlar in personuppgifter, samt den registrerades
rättigheter enligt artiklarna 15–22 och 34 vilka utgör en kommunikationsskyldighet för den
personuppgiftsansvarige som uppstår först efter en begäran, det vill säga på initiativ, från den
registrerade.
2.3.1 Informationsskyldigheten
Art. 12 anger att ”[d]en personuppgiftsansvariga ska vidta lämpliga åtgärder för att till den re-
gistrerade tillhandahålla all information som avses i art. 13 och 14 …”. Med formuleringen ”ska
vidta lämpliga åtgärder” kan informationsskyldigheten tolkas som att det är fråga om en viss
lättnad i informationsskyldigheten och låter den personuppgiftsansvarige anpassa kravet till
44 Artikel 83.5, se även avsnitt 2.5
28
den verksamhet som bedrivs då vad som utgör en lämplig åtgärd kan skilja sig åt mellan olika
organisationer. Samtidigt kan formuleringen ”ska vidta lämpliga åtgärder” tolkas som ett abso-
lut krav för den personuppgiftsansvarige att uppfylla informationsskyldigheten genom att vidta
en åtgärd som är lämplig i förhållande till skyldigheten. Ser man även till förhållandet att data-
skyddsförordningen är teknikneutral lagstiftning45 ger det mer bäring för att bestämmelsen ska
tolkas som ett absolut krav för den personuppgiftsansvarige att efterkomma syftet och målet
med skyldigheten men där sättet och formen för uppfyllandet kan variera. Även ingressen p. 60
anger att ”[p]rinciperna om rättvis och öppen behandling fordrar att den registrerade informeras
om att behandlingen sker och syftet med den …”. Om öppenhetsprincipen i art. 5.1 a fordrar
att den registrerade informeras så lämnar det inte särskilt mycket tolkningsutrymme. I den fort-
satta framställningen kommer vi utgå ifrån att informationsskyldigheten ska förstås som ett
absolut krav och begreppet lämplig åtgärd avhandlas utförligare i avsnitt 2.4.2.
Informationen ska tillhandahållas skriftligt som utgångspunkt, men kan också tillhandahållas
elektroniskt (eller annan form) när så är lämpligt (art. 12.1). Om den registrerade begär det så
får informationen tillhandahållas muntligt. Detta bör däremot påpekas att den personuppgifts-
ansvarige i sådana fall bör vara uppmärksam på att tillhandahållandet av informationen är sankt-
ionerat med den högre sanktionsnivån samt att den personuppgiftsansvarige har en skyldighet
att kunna visa att skyldigheten är uppfylld enligt art. 5.2. Detta förhållande ställer förstås sär-
skilda krav på den personuppgiftsansvarige att uppfylla bevisbördan för tillfällen då informat-
ionen tillhandahålls muntligt.
Informationen som lämnas till den registrerade ska enligt art. 12.1 lämnas ”… i en koncis, klar
och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk, i syn-
nerhet för information som är riktad till barn …”. Det här kravet kan tolkas vid en första anblick
som förhållandevis enkelt och rättframt men sätter man det i relation till mängden information
och dess innehåll som ska förmedlas kan det innebära en utmaning för den personuppgiftsan-
svarige att anpassa innehållet (som kan variera beroende på vilken typ av behandling det är
fråga om) till den registrerade. Det är inte en ovanlig företeelse att näringsidkare vid avtals-
handlingar bifogar informationsblad skrivet i liten brödtext och med ett språk avsett för jurister
som anger villkoren för avtalet. Enligt formuleringen i art. 12 är det tveksamt om den person-
uppgiftsansvarige kan anses uppfylla informationsskyldigheten genom sådana informations-
blad. Det går däremot inte att dra några exakta slutsatser för hur klart och tydligt informationen
29
ska lämnas, då det kan tänkas röra sig om en avvägningsfråga mellan korrekt och utförlig in-
formation i förhållande till förenklad och koncis information. Ingressen punkt 58 beskriver det
enligt följande;
Öppenhetsprincipen kräver att all information som riktar sig till allmänheten eller till registrerade
är kortfattad, lättåtkomlig och lättbegriplig samt utformad på ett tydligt och enkelt språk samt att
man vid behov använder visualisering … Detta är särskilt relevant i situationer där mängden olika
aktörer och den tekniska komplexiteten gör det svårt för den registrerade att veta och förstå om
personuppgifterna som rör honom eller henne samlas in, vem som gör det och för vilket syfte,
exempelvis i fråga om reklam på nätet.
Dataskyddsförordningen förbereder för att underlätta för personuppgistansvariga att kommuni-
cera med de registrerade och i det här avseendet är det möjligt, eller till och med troligt, att vi
kommer se en utveckling av standardiserade symboler för att underlätta tillhandahållandet av
informationen till den registrerade. Enligt dataskyddsförordningen har EU kommissionen fått
befogenheter att besluta om delegerade akter46 för att fastställa symboler (samt förfaranden för
att tillhandahålla sådana symboler) för att fastställa vilken information i art. 13 och 14 som kan
visas genom sådana standardiserade symboler.47 I dagsläget är det oklart vilken information
som kommer bli förknippad med sådana symboler men det ska påpekas att de kan antas fram-
över.
Informationsskyldigheten enligt art. 13 och 14 inträder så fort den personuppgiftsansvarige
mottagit personuppgifter tillhörande den registrerade där art. 13 gäller för de fall uppgifterna
inhämtas direkt från den registrerade och art. 14 för fall då uppgifterna kommer från någon
annan än den registrerade. De största olikheterna mellan artiklarna finner vi vad gäller reglerna
för när informationsskyldigheten ska uppfyllas. När det gäller situationer där den personupp-
giftsansvarige samlar in uppgifterna direkt från den registrerade så ska informationen enligt art.
13.1 och 13.2 lämnas samtidigt, vid insamlingen, till den registrerade.48 Det är med andra ord
ett direkt utbyte som ska ske. För det andra fallet när personuppgifterna inkommer från någon
annan än den registrerade, så ska informationsskyldigheten enligt art. 14.3 a som huvudregel
uppfyllas ”[i]nom en rimlig tidsperiod efter det att personuppgifterna erhållits, dock senast inom
46 Genom Lissabonfördraget infördes begreppet delegerade akter. Det är rättsakter som Europaparlamentet och
ministerrådet har delegerat till kommissionen att besluta om. Delegerade akter används för att ändra eller kom-
plettera vissa icke väsentliga delar av en EU-lag. 47 Artikel 12.7 och 12.8 48 Artikel 13.1 anger ”när personuppgifterna erhålls” och artikel 13.2 anger att det ska ske ”vid insamlingen”.
Bägge dessa formuleringar antyder på att informationen ska lämnas samtidigt som uppgifterna samlas in.
30
en månad, med beaktande av de särskilda omständigheter under vilka personuppgifterna be-
handlas”. Till denna tidsregel finns där även två undantag; Om personuppgifterna ska användas
för kommunikation med den registrerade, senast vid tidpunkten för den första kommunikat-
ionen eller om ett utlämnande till en annan mottagare förutses, senast när personuppgifterna
lämnats ut för första gången. Dessa två undantag i art. 14.3 b och c ger upphov till följande
frågeställning; om personuppgifterna inkommit till den personuppgiftsansvarige från någon an-
nan än den registrerade, antingen enbart i syfte för kommunikation med den registrerade eller,
med förutsättningen att de ska lämnas ut, innebär det att informationsskyldigheten kan vara
längre än en månad i dessa fall? Jag kan inte hitta något stöd i dataskyddsförordningen för hur
kommunikationsskyldigheten ska förstås i det här avseendet. Såsom regeln är formulerad, gäller
antingen ett absolut krav inom en månad, eller obegränsat i tiden för när behandling sker endast
i kommunikationssyfte eller med förutsättning att de ska lämnas ut. En bokstavstolkning föran-
leder därmed att under vissa förutsättningar kan personuppgiftsansvariga lagra personuppgifter
i oändlig tid utan att kommunicera detta med den registrerade, vilket utgör ett förhållande som
inte verkar ligga i linje med informations- och kommunikationsskyldigheten syfte, som just
tjänar till att medvetengöra den registrerade om att personuppgiftsbehandling sker, vem som
gör det och vilka rättigheter den registrerade har med anledning av behandlingen.
2.3.2 Informationsskyldighetens innehåll
Vad gäller innehållet i informationsskyldigheten, exakt vilken information som avses, anges
detta i art. 13 och 14 och är till stor del densamma med vissa färre egenheter. Vad som är
gemensamt för artiklarna avseende informationsskyldigheten presenteras i tabellen nedan med
referenser till respektive artikel.
Identitet och kontaktuppgifter för den personuppgiftsansvarige och i tillämpliga fall
för dennes företrädare
Art. 13.1a eller 14.1a
I tillämpliga fall, kontaktuppgifter för dataskyddsombudet Art. 13.1b eller 14.1b
Ändamålen med den behandling för vilken personuppgifterna är avsedda samt den
rättsliga grunden för behandlingen
Art. 13.1c eller 14.1c
• Om den lagliga grunden för behandlingen är baserad på artikel 6.1 (f), den
personuppgiftsansvariges eller en tredje parts berättigade intressen
Art. 13.1d eller 14.2b
• Om den lagliga grunden för behandlingen är baserad på artikel 6.1 (a) eller
9.2 (a), att det föreligger en rätt att när som helst återkalla sitt samtycke, utan
att det påverkar lagligheten av behandlingen på grundval av samtycket, innan
det återkallades
Art. 13.2c eller 14.2d
Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna, i
förekommande fall.
Art. 13.1e eller 14.1e
31
I tillämpliga fall att den personuppgiftsansvarige avser att överföra personuppgifter till
ett tredjeland eller en internationell organisation och huruvida ett beslut av kommiss-
ionen om adekvat skyddsnivå49 föreligger eller saknas eller, när det gäller överföringar
som avses i artikel 46, 47 eller 49.1 andra stycket, hänvisningar till lämpliga eller pas-
sande skyddsåtgärder och hur en kopia av dem kan erhållas eller var dessa har gjorts
tillgängliga.
Art. 13.1f eller 14.1f
Den period under vilken personuppgifterna kommer att lagras eller, om detta inte är
möjligt, de kriterier som används för att fastställa denna period
Art. 13.2a eller 14.2a
Att det föreligger en rätt att av den personuppgiftsansvariga begära tillgång till och
rättelse eller radering av personuppgifter eller begränsning av behandling som rör den
registrerade eller att invända mot behandling samt rätten till dataportabilitet
Art. 13.2b eller 14.2c
Rätten att inge klagomål till en tillsynsmyndighet Art.13.2d eller 14.2e
Förekomsten av automatiserat beslutsfattande, inbegripet profilering enligt artikel 22.1
och 22.4, varvid det åtminstone i dessa fall ska lämnas meningsfull information om
logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för
den registrerade
Art. 13.2f eller 14.2g
Om den personuppgiftsansvarige avser att ytterligare behandla personuppgifterna för
ett annat syfte än det för vilket de insamlades, ska den personuppgiftsansvarige före
denna ytterligare behandling ge den registrerade information om detta andra syfte samt
ytterligare relevant information enligt (stycke 2 respektive artikel)
Art. 13.3 eller 14.4
Utöver ovanstående information finns där även typer av information som ska lämnas, beroende
på om uppgifterna är insamlade direkt från den registrerade eller från annan.
Huruvida tillhandahållandet av personuppgifter är ett lagstadgat eller avtalsenligt krav
eller ett krav som är nödvändigt för att ingå ett avtal samt huruvida den registrerade är
skyldig att tillhandahålla personuppgifterna och de möjliga följderna av att sådana upp-
gifter inte lämnas
Art. 13.2d
Varifrån uppgifterna kommer och i förekommande fall huruvida de har sitt ursprung i
allmänt tillgängliga källor.
Art. 14.2 f
Det finns ett undantag för ovanstående informationsskyldighet enligt art. 13.4 och 14.5 a, vilket
är tillämpligt om ”den registrerade redan förfogar över informationen”. Frågan är då vad som
menas med ”förfogar över”? Räcker det att informationen är tillgänglig den registrerade? Vilket
i så fall inte skulle ställa något krav på att den registrerade tar del av informationen. I ingressen
punkt 62 beskriver man det som att det ”inte [är] nödvändigt att införa någon skyldighet att
tillhandahålla information, om den registrerade redan innehar denna information”. Formule-
49 Exempelvis Privacy Shield avseende överföringar till USA och Schweiz.
32
ringen ger inte särskilt mycket hjälp i att förstå bestämmelsen. Detta förhållande kan vara pro-
blematiskt vad gäller att upplysa de registrerade om sina rättigheter, då förordningen ställer
krav på att PUA ska tillhandahålla informationen men inte närmare preciserar hur informat-
ionen ska komma den registrerade till del (särskilt vad gäller innehållet). Det skulle kunna in-
nebära att den personuppgiftsansvarige hittar lösningar för att hålla informationen tillgänglig
och den registrerade tekniskt sett förfogar över den, men inte lätteligen kan kommas åt. Samti-
digt ska den här risken (med att informationen de facto inte kommer den registrerade till del)
vägas mot att det är fråga om en sanktionerad bestämmelse enligt art. 12 för den personupp-
giftsansvarige, som ska kunna visa att denne har genomfört lämpliga åtgärder för att tillhanda-
hålla informationen till den registrerade. Det ligger därmed i den personuppgiftsansvariges in-
tresse att säkerställa att tillhandahålla informationen på ett dokumenterat sätt, vilket borgar för
viss säkerhet att den registrerade verkligen kommer få del av informationen och dess innehåll.
För situationer då den personuppgiftsansvarige erhåller personuppgifter från annan än den re-
gistrerade, finns där ytterligare några undantag från informationsplikten i art. 14.5 b-d. Dessa
undantag gäller bland annat när informationsskyldigheten visar sig vara omöjlig eller skulle
medföra oproportionella ansträngningar, särskilt vad ankommer behandling för arkivändamål
av allmänt intresse, vetenskaplig eller historisk forskning eller statistiska ändamål i enlighet
med art. 89.1. Detsamma gäller undantag från informationsskyldigheten när sådan behandling
uttryckligen föreskrivs i unionsrätten eller medlemsstaternas nationell rätt som den registrerade
omfattas av, givet att lämpliga åtgärder är fastställda för att skydda den registrerades berättigade
intressen. Avslutningsvis finns där även ett undantag för om uppgifter är konfidentiella genom
lagstadgade sekretessbestämmelser, inbegripet tystnadsplikt, enligt unionsrätten eller medlems-
staternas nationella rätt.
2.3.3 Kommunikationsskyldigheten och den registrerades rättigheter
Dataskyddsförordningen ger den registrerade ett antal rättigheter som utgörs av rätt till tillgång,
rätt till rättelse, rätt till radering, rätt till begränsning av behandling, rätt till dataportabilitet
samt rätt att göra invändning. Utöver dessa har den registrerade flera andra rättigheter enligt
förordningen exempelvis rätt till information vid personuppgiftsincident enligt artikel 34 eller
rätt att lämna in ett klagomål till en tillsynsmyndighet i art. 77. Men de rättigheter som vi kom-
mer ta upp i det följande har en gemensam nämnare och det är att när den registrerade gör sin
rätt gällande direkt gentemot den personuppgiftsansvarige som i och med den registrerades be-
gäran erhåller en skyldighet att efterkomma den registrerades begäran. Dessa rättigheter är helt
beroende på att den personuppgiftsansvarige uppfyller sin skyldighet på ett adekvat sätt. Som
33
tidigare nämnt är dessa skyldigheter sanktionerade med den högre sanktionsavgiften för den
personuppgiftsansvarige vilket ger ett tydligt incitament för att uppfylla respektive skyldighet.
2.3.4 Kommunikationsskyldigheten
Den registrerade utövar sina rättigheter enligt art. 15–22 genom att framställa en begäran mot
den personuppgiftsansvarige som då får en kommunikationsskyldighet gentemot den registre-
rade. Skyldigheten innebär att den personuppgiftsansvarige måste kommunicera till den regi-
strerade vilka åtgärder som vidtagits enligt den registrerades begäran. Det är alltså inte bara en
skyldighet i att kommunicera med den registrerade utan beroende på vilken rättighet begäran
vilar på och omständigheterna så kan det även innebära en sanktionerad skyldighet att vidta en
åtgärd för att efterkomma den registrerades begäran. Art. 12.3 anger följande;
”Den personuppgiftsansvariga ska på begäran utan onödigt dröjsmål och under alla omständig-
heter senast en månad efter att ha mottagit begäran tillhandahålla den registrerade information om
de åtgärder som vidtagits enligt art. 15–22. Denna period får vid behov förlängas med ytterligare
två månader, med beaktande av hur komplicerad begäran är och antalet inkomna begäranden. Den
personuppgiftsansvariga ska underrätta den registrerade om en sådan förlängning inom en månad
från det att begäran mottagits samt ange orsakerna till förseningen …”
Bestämmelsen anger en tidsgräns för att kommunicera med den registrerade vilket ska ske utan
onödigt dröjsmål med beaktande av komplexiteten i begäran samt arbetsbelastning för den per-
sonuppgiftsansvarige, dock maximalt upp till en månad. Den personuppgiftsansvarige kan be-
döma att denne behöver förlänga tidsfristen med upp till två månader, men då ska detta kom-
municeras med den registrerade inom en månad från det att begäran inkom. Vad som också
tydligt framgår är att kommunikationen till den registrerade ska ges efter åtgärderna vidtagits,
inte vilka åtgärder som är planerade utan vad som har åtgärdats. Att kommunikationsskyldig-
heten formuleras med att avse vidtagna åtgärder föreslår att tidsfristen även gäller för de åtgär-
der som avses i den registrerades rättigheter enligt art. 15–22. Både kommunikationen och
eventuell åtgärd från den personuppgiftsansvarige ska dessutom som huvudregel genomföras
kostnadsfritt enligt art. 12.5. Detta föranleder frågan; vad händer om den personuppgiftsansva-
rige anser sig inte ha någon möjlighet att efterkomma begäran och inte kan vidta några åtgärder?
Art. 12.5 innehåller även bestämmelser för när den personuppgiftsansvarige inte anser sig
kunna efterkomma begäran från den registrerade enligt art. 15–22. Detta gäller när den regi-
strerades begäran är uppenbart ogrundad eller orimlig, exempelvis på grund av dess repetitiva
art. Den personuppgiftsansvarige har då rätt enligt art. 12.5 a att villkora en avgift (som är rimlig
för att täcka de administrativa kostnaderna) för att vidta åtgärden. Bestämmelsen anger en rätt
34
för den personuppgiftsansvarige att ta ut en avgift för dessa fall men bör tolkas som en rätt att
villkora åtgärden mot en avgift då en begäran från den registrerade, som huvudregel ska vara
kostnadsfri, kan inte anses skapa en bindande betalningsskyldighet utan föregående accept en-
ligt allmänna avtalsrättsliga principer. Förutom rätten att villkora en avgift kan den personupp-
giftsansvarige även förbehålla sig rätten att vägra tillmötesgå begäran enligt art. 12.5 b och
därmed inte vidta någon åtgärd alls. När den personuppgiftsansvariga villkorar åtgärden mot en
avgift eller vägrar att tillmötesgå den så har den personuppgiftsansvarige också bevisbördan för
detta och måste kunna visa att begäran är uppenbart ogrundad eller orimlig. Enligt kommuni-
kationsskyldigheten måste även den personuppgiftsansvarige informera den registrerade om
orsakerna till varför åtgärderna som den registrerade begärt inte vidtagits samt dennes möjlig-
heter att lämna in ett klagomål till en tillsynsmyndighet enligt art. 77. Kommunikationen ska
också ske utan dröjsmål och senast inom en månad från det att begäran inkom från den regi-
strerade vilket framgår av art. 12.4. I det följande ska vi närmare se till vilka dessa rättigheter
är och vilka omständigheter som föranleder en skyldighet för den personuppgiftsansvariga att
vidta åtgärder enligt den registrerades rättigheter.
2.3.5 Den registrerades rättigheter
Rättigheterna för den registrerade framgår i art. 15–22 och utgörs av den registrerades rätt till
tillgång, rättelse och radering, begränsning av behandling, dataportabilitet, invändning mot
behandling samt rätt att inte bli föremål för automatiserat individuellt beslutsfattande (profile-
ring). I föregående avsnitt om kommunikationsskyldigheten angavs några av förutsättningarna
för när den personuppgiftsansvarige har en skyldighet att kommunicera med den registrerade.
Det framgår då att kommunikationsskyldigheten kan innebära en skyldighet för den personupp-
giftsansvarige att vidta en åtgärd för att efterkomma den registrerades begäran givet att den är
grundad i någon av de rättigheter som anges i art. 15–22. I det närmaste ska vi se till vilka dessa
rättigheter är samt vilka skyldigheter de kan innebära för den personuppgiftsansvarige. Återigen
bör det påpekas att samtliga av dessa rättigheter är sanktionerade för den personuppgiftsansva-
rige enligt art. 83.5 som måste säkerställa att den registrerades rättigheter inte kränks.
Den registrerades rätt till tillgång anges i art. 15 vilket innebär att den registrerade har rätt att
få en bekräftelse från den personuppgiftsansvarige om huruvida denne behandlar personupp-
gifter som rör den registrerade, vilka dessa personuppgifter är samt en del övrig information i
relation till behandlingen. Man kan då fråga sig hur rätt till tillgång ska tolkas i den här kontex-
ten. Punkt 63 i ingressen beskriver rättigheten mer utförligt;
35
”Den registrerade bör ha rätt att få tillgång till personuppgifter som insamlats om denne samt på
enkelt sätt och med rimliga intervall kunna utöva denna rätt, för att vara medveten om att behand-
ling sker och kunna kontrollera att den är laglig… Alla registrerade bör därför ha rätt att få kän-
nedom och underrättelse … Om möjligt bör den personuppgiftsansvarige kunna ge fjärråtkomst
till ett säkert system genom vilket den registrerade kan få direkt åtkomst till sina personuppgifter”
Med andra ord borde man i första hand förstå rättigheten till tillgång som en rätt att få kännedom
och underrättelse för hur den personuppgiftsansvarige behandlar den registrerades personupp-
gifter och i så fall vilka uppgifter dessa är samt kontrollera om behandling är laglig. För de fall
den personuppgiftsansvarige har personuppgifter tillhörande den registrerade så ska dessa per-
sonuppgifter lämnas ut med i stort sett samma information som den i informationsskyldigheten.
Exakt vilken information som ska lämnas ut framgår av art. 15.1 a-h och 15.2. Den personupp-
giftsansvarige får genom en sådan begäran en skyldighet att genomföra åtgärden kostnadsfritt,
däremot tillåter art. 15.3 att vid ytterligare kopior som den registrerade begär får den person-
uppgiftsansvarige ta ut en rimlig avgift för de administrativa kostnaderna. Samtidigt står det i
ingressen punkt 63 att den registrerade ska ”… med rimliga intervall kunna utöva denna rätt
…”. Läser man art. 15.3 i kombination med art. 12.5 (om undantagen från kommunikations-
skyldigheten) så kan det innebära att den personuppgiftsansvarige inte har en automatisk rätt
att ta ut en administrativ avgift efter första begäran, utan denna avgiftsrätt måste föregås av en
rimlighetsbedömning eftersom den registrerades rättighet ska kunna utövas med rimliga inter-
vall.
Den registrerades rätt till rättelse i art. 16 följer även av hanteringsregeln korrekthet i art. 5.1
d. Den registrerade har rätt att få felaktiga uppgifter rättade och med beaktande av ändamålet
med behandlingen, även rätt att få komplettera ofullständiga uppgifter.
Art. 17 anger den registrerades rätt till radering (”rätten att bli bortglömd”) vars bestämmelse
har tydliga kopplingar till Google Spain-målet.50 I vilken utsträckning Google Spain målet kan
vara tillämpligt avseende dataskyddsförordningen är däremot inte utrett i den här uppsatsen.
Rätten till radering är inte en absolut rättighet utan det krävs att någon av förutsättningarna i
art. 17.1 a-f är uppfyllda för att skyldigheten att radera uppgifterna ska uppstå för den person-
uppgiftsansvarige. Förutsättningarna som föranleder skyldigheten till radering i art. 17.1 är a)
uppgifterna är inte längre nödvändiga för de ändamål51 för vilka de samlades in eller på annat
50 Mål C-131/12 Google Spain SL and Google Inc. v Agencia Espanõla de Protección de Datos (AEPD) and Mario
Costeja Gonzáles 51 Se avsnitt 2.2.1
36
sätt behandlas, b) den registrerade återkallar sitt samtycke,52 c) den registrerade invänder mot
behandlingen enligt art. 21 och där saknas berättigande skäl som väger tyngre för en behand-
ling, d) personuppgiftsbehandlingen saknar laglig grund, e) personuppgifterna måste raderas
för att uppfylla en rättslig förpliktelse eller f) personuppgifterna har samlats in i samband med
ett erbjudande till ett barn.53 Har den personuppgiftsansvarige offentliggjort uppgifterna och
någon av förutsättningar föreligger för rätt till radering, uppstår även en skyldighet för den per-
sonuppgiftsansvarige att underrätta andra personuppgiftsansvariga att den registrerade har be-
gärt uppgifterna raderade vilket inbegriper länkar, kopior och andra reproduktioner av uppgif-
terna. Denna skyldighet att vidta åtgärder att underrätta andra ska göras efter en rimlighetsbe-
dömning med beaktande av tillgänglig teknik och kostnaden för genomförandet av åtgärderna.
Den registrerade har rätt att av den personuppgiftsansvarige kräva att behandlingen begränsas
enligt art. 18. Vad en begränsning i behandlingen innebär beskrivs i ingressen punkt 67 och kan
innebära att den personuppgiftsansvarige ”… tillfälligt flyttar de valda personuppgifterna till
ett annat databehandlingssystem, gör de valda uppgifterna otillgängliga för användare eller till-
fälligt avlägsnar offentliggjorda uppgifter från en webbplats … detta förhållande att behand-
lingen av personuppgifter är begränsade bör klart anges inom systemet”. Med andra ord innebär
en begränsning i behandlingen att det inte är fråga om att radera uppgifterna, utan snarare
”frysa” dem. Legaldefinitionen i art. 4.3 anger att med begränsning av behandling menas mar-
kering av lagrade personuppgifter med syfte att begränsa behandlingen av dessa i framtiden.
Med undantag för lagring, får den personuppgiftsansvarige inte vidare behandla uppgifterna
utan den registrerades samtycke enligt art. 18.2.54 Rätten för den registrerade att begära be-
gränsning i behandlingen kräver att minst en av följande förutsättningar föreligger, vilket även
ger en bild av varför den registrerade har denna rättighet. Art. 18.1 a-d anger förutsättningarna
till följande; a) den registrerade bestrider uppgifternas korrekthet, under en tid som ger den
personuppgiftsansvarige möjlighet att kontrollera dess korrekthet, b) behandlingen saknar lag-
lig grund och den registrerade motsätter sig att uppgifterna raderas55, c) den personuppgiftsan-
svarige behöver inte uppgifterna för ändamålet med behandlingen men den registrerade behöver
dem för att fastställa, göra gällande eller försvara ett rättsligt anspråk, d) den registrerade har
invänt mot behandlingen enligt art. 21. För de fall som en begränsning i behandlingen inträtt så
52 Samtycket och dess återkallande behandlas närmare i avsnitt 2.2.2 53 Personer som är 15 år eller yngre räknas som barn enligt art. 8. Beakta dock att nationell särlagstiftning kan
sänka denna ålder ned till 12 år och yngre 54 Däremot anges även i art. 18.2 några omständigheter då den personuppgiftsansvarige får behandla uppgifterna,
trotts att dem är begränsade. 55 En sådan situation kan bli aktuell när den registrerade inger ett klagomål till en tillsynsmyndighet enligt art. 77
37
får inte uppgifterna behandlas vidare, med undantag för lagring, utan den registrerades sam-
tycke. Situationen kan också uppstå då rätten till begränsning inte längre föreligger, exempelvis
när uppgifterna blivit kontrollerade och visar sig vara korrekta, men innan begränsningen kan
upphävas så har den personuppgiftsansvarige en skyldighet att informera den registrerade om
upphävningen av begräsningen (art. 18.3).
För de fall den registrerade begärt och har rätt till rättelse, radering eller begränsning av sina
personuppgifter kan även en sanktionerad anmälningsskyldighet uppstå för den personuppgifts-
ansvarige enligt art. 19. Denna skyldighet inträder om den personuppgiftsansvarige har lämnat
ut uppgifterna till annan part och ska då anmäla om någon åtgärd vidtagits enligt de ovan-
nämnda rättigheterna. Denna skyldighet ska utföras under förutsättning att den inte är omöjlig
eller medför en oproportionell ansträngning för den personuppgiftsansvarige. Om den registre-
rade begär det ska även den registrerade informeras om vilka dessa mottagare av anmälan är.
Rätten till dataportabilitet enligt art. 20 innebär att den registrerade under vissa förutsättningar
har en rätt att få ut personuppgifter som rör honom eller henne i ett strukturerat, allmänt använt
och maskinläsbart format eller att få dessa uppgifter överförda till en annan personuppgiftsan-
svarig. Förutsättningarna för att rättigheten ska föreligga för den registrerade är att personupp-
giftsbehandlingen utgår från en rättsliga grunden samtycke (art. 6.1 a eller 9.2 a) eller att den
är nödvändig för att genomföra ett avtal (art. 6.1 b) samt att behandlingen sker automatiskt.
Vilken laglig grund som behandlingen utgår ifrån borde inte utgöra några problem att fastslå
men vad som utgör automatiserad behandling framgår däremot inte av förordningstexten. Ef-
tersom rätten till dataportabilitet är beroende av att kunna göra gällande att behandlingen sker
automatiskt borde det tydligare framgå vad som menas med detta begrepp. Det finns ingen
legaldefinition av automatiserad behandling i art. 4 och ingressen till dataskyddsförordningen
erbjuder inte heller någon vidare utveckling för vad som menas med automatiserad behandling.
Det är därmed möjligt att gränsdragningsproblem kan uppstå för huruvida behandling ska anses
automatiserad och därmed om den registrerades rätt till dataportabilitet föreligger eller ej. För-
hoppningsvis kommer utvecklingen av praxis och soft law på området att ge mer underlag för
hur automatiserad behandling ska förstås. Vad gäller portabiliteten, själva överförings-skyldig-
heten, så förtydligar ingressen i punkt 68 detta och anger; ”Om det är tekniskt möjligt, bör den
registrerade ha rätt till direkt överföring av personuppgifterna från en personuppgiftsansvarig
till en annan.” samt ”[d]en registrerades rätt att överföra eller motta personuppgifter … innebär
inte någon skyldighet för de personuppgiftsansvariga att införa eller upprätthålla behandlings-
system som är tekniskt kompatibla”. Därmed ska rättigheten förstås som att den registrerade
38
har en rätt att få ut sina personuppgifter i ett format som i vart fall kan läsas maskinellt, men att
den personuppgiftsansvarige har ingen skyldighet att tillhandahålla särskilda system som möj-
liggör överföringen. Föreligger den registrerades rätt till dataportabilitet så har den personupp-
giftsansvarige en skyldighet lämna ut uppgifterna till den registrerade i ett maskinläsbart format
och endast en skyldighet att överföra dessa till annan personuppgiftsansvarig om det är tekniskt
möjligt med beaktande av de respektive behandlingssystem som de bägge personuppgiftsans-
variga använder.
Den registrerade har även en rätt att göra invändningar mot vissa typer av behandlingsverk-
samheter enligt art. 21. Om personuppgifterna behandlas för direkt marknadsföring har den
registrerade rätt att invända mot behandlingen (art. 21.2) varav den personuppgiftsansvarige
har en skyldighet att upphöra med att behandla uppgifterna för det ändamålet (art. 21.3). För de
fall den personuppgiftsansvarige behandlar personuppgifterna på den lagliga grunden allmänt
intresse (art. 6.1 e) eller berättigat intresse (art. 6.1 f) så har den registrerade rätt att göra in-
vändning mot behandlingen av skäl som hänför sig till den registrerades specifika situation (art.
21.1). Vid en sådan framställan från den registrerade inträder även en skyldighet för den per-
sonuppgiftsansvarige att upphöra behandlingen (se begränsa behandlingen art. 18.1 d) fram tills
det att den personuppgiftsansvarige kan påvisa berättigade skäl för behandlingen som väger
tyngre än den registrerades intresse, rättigheter och friheter.56 Med beaktande av att rätten till
invändning dels bygger på ”skäl som hänför sig till den registrerades specifika situation” och
att den personuppgiftsansvarige ska påvisa ”berättigade skäl som väger tyngre än den registre-
rades intresse” föranleder det en tolkning där en personuppgiftsbehandling som i standardfallet
har ett berättigat intresse kan med beaktande av den registrerades specifika situation anses obe-
rättigat.
Som utgångspunkt har den registrerade rätt att inte bli föremål för ett beslut som enbart grundas
på automatiserad behandling, vilket har rättsliga följder eller i liknande grad påverkar den regi-
strerade. Det föreligger med andra ord ett förbud mot automatiserat individuellt beslutsfattande
enligt art. 22. Detta förbud är därefter omgärdat av flera undantag för när sådana beslut är till-
låtna. Först ska vi se till vilken behandlingsverksamhet förbudet omfattar, för att därefter se till
vilka behandlingsverksamheter som är undantagna förbudet. För att förstå vilken behandlings-
verksamhet som i regel är förbjuden kan vi dela upp förutsättningarna i behandlingen till; 1)
leder till ett beslut, 2) med rättsliga följder eller på liknande sätt i betydande grad påverkar den
56 Eller om behandlingen krävs för fastställande, utövande eller försvar av rättsliga anspråk, art. 21.1 sista me-
ningen
39
registrerade och 3) grundar sig helt på automatiserat behandling eller profilering. Ingressen
punkt 71 exemplifierar dessa beslut med rättsliga följder eller liknande påverkningar med att
avse beslut ”… såsom ett automatiserat avslag på en kreditansökan online eller e-rekrytering
utan personlig kontakt”. Vidare anger ingressen punkt 71 att denna typ av beslutsfattande ge-
nom automatiserad behandling även innefattar profilering;
”Sådan behandling omfattar ”profilering” i form av automatisk behandling av personuppgifter
med bedömning av personliga aspekter rörande en fysisk person, särskilt för att analysera eller
förutse aspekter avseende den registrerades arbetsprestation, ekonomiska situation, hälsa, person-
liga preferenser eller intressen, pålitlighet eller beteende, vistelseort eller förflyttningar.”
Därmed kan vi förstå att beslutet behöver ha en egenskap av finalitet, det ska inte krävas några
vidare åtgärder för att få effekt. Därutöver behöver beslutet antingen ha rättsverkningar eller på
annat sätt i betydande grad påverka den registrerade. Avslag på en kreditansökan eller jobban-
sökan har inga rättsverkningar för den registrerade men enligt dataskyddsförordningens mening
så har de på liknande sätt betydande påverkan för den registrerade. Det går inte att dra några
slutsatser för var gränserna går för vilka beslut som enligt förordningen ska anses ”på liknande
sätt i betydande grad påverka den registrerade” men exemplen ovan får tjäna som vägledande.
Därefter måste beslutet genereras på helt automatisk väg. Den automatiserade behandlingen
innefattar profilering, men ger en större tillämplighet. Profilering förutsätter en automatisk be-
handling enligt legaldefinitionen i art. 4.4 och avser varje typ av automatisk behandling som
bedömer vissa personliga egenskaper hos den registrerade, särskilt när det avser att analysera
och förutsäga dessa personliga egenskaper.57 Men endast en helt automatiserad behandling
räcker, utan att i egentlig mening ta ställning till några personliga egenskaper hos den registre-
rade. Däremot undantas vissa behandlingar det här förbudet, men de är förenade med vissa
särskilda villkor. Om personuppgiftsbehandlingen är nödvändig för ingående eller fullgörande
av ett avtal mellan den registrerade och den personuppgiftsansvarige så är den här typen av
behandling58 tillåten (art. 22.2 a) förutsatt att uppgifterna som behandlas inte utgör känsliga
uppgifter (art. 9.1) enligt art. 22.4. Även för behandlingar som den registrerade uttryckligen
samtycker till behandlingen (art. 22.2 c) är tillåten, vilket även innefattar känsliga personupp-
gifter enligt art. 22.4. Det vill säga att om behandlingen sker på den lagliga grunden nödvändig
för fullgörande av avtal (art. 6.1 b) eller samtycke (art. 6.1 a eller art. 9.2 a) så är den undantagen
57 Avseende arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, bete-
ende, vistelseort och förflyttningar. 58 helt automatiserad och leder till ett beslut som har rättsliga följder eller på liknande sätt påverkar den registrerade
i betydande grad
40
förbudet. Villkoren för att genomföra behandlingen under dessa premisser är att den person-
uppgiftsansvarige vidtar lämpliga åtgärder för att säkerställa den registrerades rättigheter, fri-
heter och rättsliga intressen samt möjliggör för den registrerade att ta personlig kontakt med
den personuppgiftsansvarige för att kunna motsätta sig beslutet.
41
2.4 Personuppgiftsansvariges allmänna skyldigheter
2.4.1 Den personuppgiftsansvarigs ansvar
Art. 24.1 beskriver den personuppgiftsansvariges skyldigheter och med hänsyn till bestämmel-
sens allmänna förhållningssätt till den personuppgiftsansvariges skyldigheter kan den i det
närmaste tolkas som en portalparagraf. Bestämmelsen är inte heller sanktionerad vilket talar för
att den är för allmänt hållen för att kunna fastställa några exakta skyldigheter som kan sankt-
ioneras. I linje med att dataskyddsförordningen är en teknikneutral lagstiftning anger art. 24
inte uttryckligen vilka åtgärder som den personuppgiftsansvarige är skyldig att vidta, utan att
denne är skyldig att vidta lämpliga åtgärder för att följa de skyldigheter man kan utläsa ur
förordningen. Den här uppsatsen syftar till att försöka belysa vilka dessa skyldigheter är och i
det kommande kapitlet ska vi närmare undersöka vad som menas med en lämplig åtgärd som
den personuppgiftsansvarige måste vidta för att uppfylla respektive skyldighet.
2.4.2 Lämpliga åtgärder
Art. 24 föreskriver en allmän skyldighet för den personuppgiftsansvarige att ”… genomföra
lämpliga tekniska och organisatoriska åtgärder för att kunna säkerställa och visa att behand-
lingen utförs i enlighet med förordningen”. För att förstå den här skyldigheten beskriver för-
ordningen i punkt 77 i ingressen följande;
”Vägledning för den personuppgiftsansvariges eller personuppgiftsbiträdets genomförande av
lämpliga åtgärder och för påvisandet av att behandlingen är förenlig med denna förordning, sär-
skilt när det gäller att kartlägga den risk som är förknippad med behandlingen och bedöma dess
ursprung, art, sannolikhetsgrad och allvar samt fastställa den bästa praxis för att minska risken,
kan framförallt ges genom godkända uppförandekoder, godkänd certifiering, riktlinjer från sty-
relsen eller genom anvisningar från ett dataskyddsombud …”
Med andra ord erbjuder förordningen ingen vägledning i hur en lämplig åtgärd ska bedömas,
utan istället att detta kan härledas genom uppförandekoder, certifieringar och riktlinjer från den
blivande dataskyddsstyrelsen (som i förordningen förkortas ”styrelsen”). Uppförandekoder re-
gleras i art. 40 och kan kort beskrivas som branschspecifika överenskommelser som tas fram
av branschorganisationer och som godkänns av en tillsynsmyndighet. Dataskyddsombudet, som
enligt art. 37.5 utgörs av någon som är yrkesmässigt kvalificerad med sakkunskap om lagstift-
ning och praxis på dataskyddsområdet, kan i det här läget inte heller bidra med vägledning då
denna är helt beroende av att tolka och förstå de övriga riktlinjerna som typiskt sett benämnas
vid samlingsbegreppet soft law. Vad som är problematiskt med dessa riktlinjer är att inga av
42
dem finns idag. Det är först efter förordningen blir tillämplig (25 maj 2017) som vi kan förvänta
oss att börja se en utveckling av dessa. Så hur gör personuppgiftsansvarig som behöver vidta
åtgärder innan dessa riktlinjer utvecklats? Och följaktligen, de personuppgiftsansvariga som
har vidtagit åtgärder, i vilken grad är de skyldiga att följa utvecklingen av riktlinjer på områden
som de redan vidtagit åtgärder inom? För att svara på första frågan så kommer den personupp-
giftsansvarige behöva göra egna bedömningar för vad som utgör en lämplig åtgärd i förhållande
till respektive skyldighet. Svaret på den andra frågan får vi direkt från sista meningen i art. 24.1
som anger att ”… dessa åtgärder ska ses över och uppdateras vid behov.”, med andra ord kom-
mer den personuppgiftsansvarige behöva följa den utveckling av soft law som väntas och even-
tuellt korrigera redan vidtagna åtgärder. Detta ställer krav på en noggrann, och förslagsvis för-
siktig, bedömning för vilka åtgärder den personuppgiftsansvarige väljer att vidta för att följa de
skyldigheter som förordningen anger samt kontinuerligt hålla sig uppdaterad på den fortsatta
utvecklingen för dessa respektive skyldigheter.
Bedömningen i åtgärden blir en fråga om dess lämplighet i förhållande till skyldigheten. För-
ordningen uppställer någon form av krav eller skyldighet för den personuppgiftsansvarige i en
artikel (exempelvis kommunikationsskyldigheten avseende den registrerades rättigheter i art.
12 och 14) varav kravet eller skyldighet efterlevs genom någon form av åtgärd av den person-
uppgiftsansvarige för att följa bestämmelserna och undvika sanktioner. Vad vi kan utläsa från
ingressen är att lämpligheten i åtgärden, blir beroende av förhållandet mellan skyldigheten och
de uppgifter som behandlas. Punkt 74 i ingressen står det följande;
”Personuppgiftsansvariga bör särskilt vara skyldiga att vidta lämpliga och effektiva åtgärder och
kunna visa att behandlingen är förenlig med denna förordning, även vad gäller åtgärdernas effek-
tivitet. Man bör inom dessa åtgärder beakta behandlingens art, omfattning, sammanhang och än-
damål samt risken för fysiska personers rättigheter och friheter.”
Därmed ska man sätta skyldigheten i förhållande till en samlad bedömning kring behandlings-
verksamheten vilken kan brytas ner till följande bedömningsfaktorer; 1) art, 2) omfattning, 3)
sammanhang, 4) ändamål samt 5) risken. Vad gäller behandlingens art tolkar jag det som att
det syftar på vilken laglig grund uppgifterna behandlas enligt art. 6, om uppgifterna hör till barn
och kräver särskilt samtycke enligt art. 8 eller om uppgifterna innehåller känsliga personupp-
gifter enligt art. 9.1. Med andra ord är det en fråga om vilka uppgifter som behandlas. Vad
ankommer omfattningen av uppgifterna kan det tolkas som om det rör sig om antalet registre-
rade eller antalet uppgifter om en registrerad. Vid riskbedömningen beskrivs omfattningskravet
43
som att innefatta antalet uppgifter och antalet registrerade och bör förstås som att det avser en
kombination av dessa. För att exemplifiera så kan vi föreställa oss två olika personuppgiftsan-
svariga där den ena har 50 000 registrerade e-postadresser och inga andra uppgifter medans den
andra personuppgiftsansvariga endast har 1 000 registrerade men omfattande uppgifter för varje
registrerad (hemadress, telefonnummer, bild, personliga preferenser etc.). Ska man i det läget
göra en bedömning i omfattningen av behandlingen blir det tydligt att registret med bara 1000
registrerade mycket väl kan bedömas som mer omfattande. Ingen slutsats kan dras i exakt hur
omfattningsbedömningen ska tolkas men det är troligt att den varierar beroende på vilken skyl-
dighet bedömningsfrågan relaterar till samt att vi förhoppningsvis kommer se en utveckling av
soft law som kommer ge vägledning i hur den ska tolkas. Uppgifternas sammanhang avser
under vilka omständigheter som uppgifterna samlades in och den registrerades förhållande till
den personuppgiftsansvarige. Ändamålet med behandling följer av den allmänna principen än-
damålsbegränsning som återfinns i art. 5.1, vilket utgör en villkorad förutsättning för insamlan-
det av uppgifter. Risken med behandlingen kommer bli en återkommande fråga i det här kapitlet
och behandlas mer utförligt nedan.
För att sammanfatta hur en lämplig åtgärd ska förstås så handlar det om att sätta respektive
skyldighet i förhållande till en möjlig åtgärd för att efterkomma skyldigheten och lämpligheten
i åtgärden bestäms utifrån vissa givna bedömningsfaktorer. Exakt hur bedömningsfaktorerna
ska tolkas, eller vad som utgör en lämplig åtgärd i det enskilda fallet, kan vi inte med säkerhet
avgöra innan förordningen blir tillämplig. Eftersom dataskyddsförordningen är teknikneutral i
syfte att ge flexibilitet och bättre kunna anpassas allteftersom teknikutvecklingen går framåt,
kommer vi istället se en utfyllnad i ”tomrummet” med soft law och ålagt den personuppgifts-
ansvarige en skyldighet att hålla sig à jour med utvecklingen av förordningens innehåll och göra
nödvändiga anpassningar allteftersom. Detta innebär troligtvis att flera personuppgiftsansvariga
kommer bli tvungna, på grund av tiden det tar att genomföra vissa åtgärder, att göra egna be-
dömningar för vad som kan anses lämpligt för att utföra behandlingsverksamhet i enlighet med
förordningen och därefter se om utvecklingen går i samma riktning eller ej.
2.4.3 Riskbedömningen i behandlingen
På flera håll i dataskyddsförordningen ingår det att beakta risken med behandlingen för att fast-
ställa lämpliga åtgärder. Vi kan också se att riskbedömningen även kan leda till skyldigheter
för den personuppgiftsansvarige, där exempelvis skyldigheten i art. 30 att föra ett register över
behandlingen som regel inte gäller för företag och organisationer som sysselsätter färre än 250
personer men om behandlingen innebär en sannolik risk så inträder skyldigheten ändå enligt
44
art. 30.5. Vi ser även att om en riskbedömning leder till en hög risk så inträder även skyldigheten
att genomföra en konsekvensbedömning enligt art. 35 innan personuppgiftsbehandlingen ens
påbörjats vilket i sig ytterligare kan leda till en skyldighet att inleda förhandssamråd med till-
synsmyndigheten enligt art. 36. Att någon riskbedömning inte gjorts har naturligtvis ingen be-
friande verkan från dessa skyldigheter vilket praktiskt leder till att personuppgiftsansvariga be-
höver göra en riskbedömning inför varje planerad och kommande behandling för att veta om
de träffas av ytterligare skyldigheter eller ej. Så hur gör man en riskbedömning?
Ingressen punkt 76 anger hur riskbedömningen ska göras och formulerar den enligt följande;
”Hur sannolik och allvarlig risken för den registrerades rättigheter och friheter bör fastställas
utifrån behandlingens art, omfattning, sammanhang och ändamål. Risken bör utvärderas på
grundval av en objektiv bedömning, genom vilken det fastställs huruvida uppgiftsbehandlingen
inbegriper en risk eller en hög risk.” Riskbedömningen kan alltså göras först efter man klarlagt
art, omfattning, sammanhang och ändamål, varav man därefter på objektiva grunder fastslår hur
sannolikt det är att risken inträffar samt hur allvarlig risken är. Detta ska leda till ett faststäl-
lande för om behandlingen är förknippad med en risk eller en hög risk. Vad ankommer själva
risken, det vill säga risken i att den registrerades rättigheter och friheter kränks, så exemplifieras
dessa i punkt 75 i ingressen. En sammanfattning på bedömningsgrunder för risken ges i tabell
2. Det bör också påpekas att den är exemplifierande och ej uttömmande.
Tabell 2 – Riskbedömningen enligt ingressen p. 75 dataskyddsförordningen
Risken i att behandlingen kan medföra; • Skada (fysiska, materiella, immateriella eller eko-
nomisk)
• Diskriminering
• Identitetsstöld
• Bedrägeri
• Skadat anseende
• Röjande av uppgifter som omfattas av tystnadsplikt
• Obehörigt hävande av pseudonymisering
• Annan betydande ekonomisk eller social nackdel
• Hinder för den registrerade att utöva sina rättig-
heter (avseende dataskyddsförordningen)
Särskilt angående uppgifter som utgör; • Känsliga personuppgifter
• Fällande domar eller överträdelser
• Bedömningar i personliga aspekter (profilering)*
• Sårbara personer (exempelvis barn)
Eller om behandlingen avser omfattande uppgifter (antal uppgifter och antal registrerade).
45
* Framförallt analyser i syfte att skapa personliga profiler avseende arbetsprestationer, ekonomisk
ställning, hälsa, personliga preferenser eller intressen, tillförlitlighet, beteende, vistelseort eller
förflyttningar.
Vad som leder till en sannolik, allvarlig eller hög risk i ovanstående bedömningsgrunder är i
dagsläget oklart. Återigen hänvisar förordningen i ingressen p. 77 att vägledning för en sådan
bedömning framför allt kan ges genom godkända uppförandekoder, godkänd certifiering, rikt-
linjer från styrelsen och genom anvisningar från ett dataskyddsombud. Med andra ord kommer
personuppgiftsansvariga få lita på sina egna bedömningar fram tills dess vi ser en utveckling av
ovanstående riktlinjer.
För de fall den personuppgiftsansvarige i sin riskbedömning kommer fram till att behandlingen
är förenad med en sannolik risk för att den registrerades rättigheter eller friheter enligt förord-
ningen kränks, inträder skyldigheten att föra ett register över behandlingen. Denna skyldighet
kommer vi gå in närmare på i avsnitt 2.4.8. Om den personuppgiftsansvarige kommer fram till
att behandlingen sannolikt är förenad med en hög risk, särskilt med beaktande av att ny teknik
används i behandlingen, inträder skyldigheten att genomföra en konsekvensbedömning enligt
art. 35.
2.4.4 Skyldigheten att utföra en konsekvensbedömning avseende dataskyddet
Om en personuppgiftsbehandling sannolikt leder till en hög risk för att den registrerades rättig-
heter och friheter kränks, inträder en skyldighet att genomföra en konsekvensbedömning av
behandlingen innan behandling faktiskt sker, enligt art. 35. Skyldigheten är sanktionerad med
den lägre sanktionsnivån i art. 83.4 och gäller för behandlingar med sannolik hög risk samt ett
antal typer av behandlingar i art. 35.3 som under alla omständigheter kräver att en konsekvens-
bedömning genomföras innan behandlingen. Tillfällen då skyldigheten utgör ett krav anges i
art. 35.5 och gäller för följande fall av behandling; a) systematisk och omfattande bedömning i
de registrerades personliga aspekter som grundar sig på en automatisk behandling (inbegripet
profilering) vars beslut ger rättsliga följder för den registrerade eller på liknande sätt påverkar
den registrerade i betydande grad, b) omfattande behandling av känsliga uppgifter enligt art. 9
eller uppgifter som rör fällande domar och överträdelser enligt art. 10 samt c) systematisk över-
vakning av allmän plats. Vad gäller behandlingar som anges ovan, vilka ger den personupp-
giftsansvarige en skyldighet att utföra konsekvensbedömningar, har tillsynsmyndigheten till
uppgift att offentliggöra listor på behandlingsverksamheter som omfattas av kravet. Tillsyns-
myndigheten får även upprätta och offentliggöra listor på behandlingsverksamheter som inte
omfattas av kravet. Därmed kan vi sammanställa skyldigheten för den personuppgiftsansvarige
46
att genomföra konsekvensbedömningar som ett absolut krav för vissa typer av behandlingar,
där dessa behandlingsverksamheter har angetts och offentliggjorts av tillsynsmyndigheten.
Endast då utgör konsekvensbedömningen en absolut skyldighet. Skyldigheten kan däremot
även uppstå genom att en riskbedömning i behandlingen visar att där sannolikt föreligger en
hög risk med behandlingen och som tidigare nämnts, att en riskbedömning inte genomförts har
naturligtvis ingen befriande verkan från denna skyldighet.
Syftet med att genomföra en konsekvensbedömning är att bedöma den planerade behandlingens
konsekvenser för skyddet av den registrerades personuppgifter och närmare anvisningar för hur
denna ska genomföras och vad den ska innehålla anges i art. 35.7–11. Då det framgår förhål-
landevis tydligt i artiklarna vad en sådan bedömning grundar sig på ges här ingen närmare re-
dogörelse för hur konsekvensbedömningen ska genomföras. Däremot ska det nämnas att för de
fall en konsekvensbedömning resulterar i ett fastställande att behandlingen skulle innebära en
hög risk och den personuppgiftsansvarige inte vidtar tillräckliga åtgärder för att minska risken,
uppstår även skyldigheten att inleda förhandssamråd med tillsynsmyndigheten enligt art. 36,
vilket även är sanktionerat med den lägre sanktonsnivån i art. 83.4. Vad vi kan sammanfatta av
det här är att vid förhållandevis riskfylld personuppgiftsbehandling, särskilt med avseende på
användningen av ny teknik, behöver den personuppgiftsansvarige genomföra en konsekvens-
bedömning samt vidta lämpliga åtgärder för att minska risken. Om dessa åtgärder inte vidtas,
exempelvis för att det av någon anledning helt enkelt inte är möjligt för den personuppgiftsan-
svarige att bedöma hur riskerna med behandlingen ska kunna minska, så är det en sanktionerad
skyldighet för den personuppgiftsansvarige att samråda med tillsynsmyndigheten för att se hur
de registrerades rättigheter och friheter bäst kan skyddas.
För att illustrera detta kan man föreställa sig en situation där den personuppgiftsansvarige ge-
nomför en personuppgiftsbehandling utan att ha genomfört en föregående riskbedömning för
behandling. Med en objektiv bedömning i grunderna för en riskbedömning så framgår det att
behandlingen innebär en sannolik och hög risk att den registrerades rättigheter eller friheter
kränks, men eftersom den personuppgiftsansvarige inte genomfört riskbedömningen så är de
inte medvetna om detta och har därmed inte heller gjort en konsekvensbedömning. Kort därefter
inträffar just risken på grund av en uppenbar säkerhetsmiss i systemet och den registrerade får
sin identitet stulen samt drabbas av betydande ekonomisk skada till följd. Den registrerade an-
mäler händelsen till tillsynsmyndigheten som efter en granskning slår fast att den personupp-
giftsansvarige inte kan visa att de har gjort en konsekvensbedömning före behandlingen vilket
de har haft en skyldighet att göra då behandlingen var förenad med en hög risk.
47
2.4.5 Inbyggt dataskydd och dataskydd som standard
I det närmaste ska vi först undersöka vad som menas med inbyggt dataskydd i art. 25.1 och
därefter vad dataskydd som standard i art. 25.2 innebär, vars skyldigheter är sanktionerade med
den lägre sanktionsnivån i art. 83.4. Inbyggt dataskydd är en allmän skyldighet för den person-
uppgiftsansvarige att genom lämpliga åtgärder effektivt implementera dataskyddsprinciperna i
art. 5 vid fastställande av de medel som personuppgiftsbehandlingen kommer utföras med. Att
implementera de principer som anges i art. 5 innebär i förlängningen ett implementerande av
de skyldigheter som principerna ger upphov till vilket beskrivs närmare i kapitel xxx. Med
fastställande av medel i den här kontexten åsyftas de verktyg eller tjänster som förenklat sagt
utgör det tekniska system för vilka personuppgifterna de facto behandlas i. I den fortsatta fram-
ställningen kommer vi med system åsyfta de medel som används för personuppgiftsbehand-
lingen.
Bestämmelsen i art. 25 om inbyggt dataskydd har en teknisk karaktär som sätter dataskydds-
principerna i en mer praktisk kontext; den personuppgiftsansvariga har en skyldighet att för
personuppgiftsbehandling vidta lämpliga åtgärder genom att välja och använda system som
effektivt genomför dataskyddsprinciperna, eller för de fall den personuppgiftsansvarige själv
utvecklar tekniska system, beakta dataskyddsprinciperna vid utvecklandet av ett sådant system.
Lämpliga åtgärder avseende det inbyggda dataskyddet inbegriper även att vidta organisatoriska
åtgärder, för att arbetet och användningen av ett sådant system ska fungera ändamålsenligt.59 I
ingressen punkt 78 exemplifieras hur dessa åtgärder kan uttryckas för att effektivt genomföra
dataskyddsprinciper; ”… Sådana åtgärder kan bland annat bestå av att personuppgifterna mini-
meras, att personuppgifterna snarast möjligt pseudonymiseras, att öppenhet om personuppgif-
ternas syfte och behandling iakttas, att den registrerade får möjlighet att övervaka uppgiftsbe-
handlingen och att den personuppgiftsansvarige får möjlighet att skapa och förbättra säkerhets-
anordningar…”. Sätter man dataskyddsprinciperna i relation till artiklarna som konkretiserar
principerna kan vi lättare utläsa vilka faktiska egenskaper man lämpligen bör eftersträva att
bygga in i det system som genomför behandlingen. Därav namnet; inbyggt dataskydd.
Vad gäller bedömningen i lämpligheten i åtgärderna har det tidigare behandlats i avsnitt 2.4.2.
När en sådan lämplighetsbedömning ska göras avseende inbyggt dataskydd ska även faktorer
som den senaste tekniska utvecklingen samt genomförandekostnaderna beaktas enligt art. 25.1.
59 Om de som arbetar och administrerar systemet medvetet eller omedvetet kringgår det inbyggda dataskyddet så
har den personuppgiftsansvarige knappast genomfört en lämplig åtgärd.
48
Detta innebär att lämplighetsbedömningen även innehåller en rimlighetsbedömning i vilka an-
satser den personuppgiftsansvarige behöver vidta för att uppfylla skyldigheten i förhållande till
vad som är tekniskt möjligt (och tillgängligt) och vad det skulle kosta att genomföra åtgärderna.
Häri skulle det vara av intresse att se hur skyldigheten kring inbyggt dataskydd påverkar per-
sonuppgiftsansvariga olika med tanke på att vissa personuppgiftsansvariga rimligtvis har större
ekonomiska resurser än andra personuppgiftsansvariga att genomföra kostsamma ekonomiska
åtgärder. På grund av utrymmesskäl kan vi här inte dyka djupare i frågan men jag vill ändå
påpeka att det vore ett rimligt antagande att skyldigheten att välja och använda system för per-
sonuppgiftsbehandling troligtvis utrycker sig olika beroende på om personuppgiftsansvariga
utgör små eller stora bolag.
Dataskydd som standard i art. 25.2 innebär att ”Den personuppgiftsansvariga ska genomföra
lämpliga tekniska och organisatoriska åtgärder för att, i standardfallet, säkerställa att endast
personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas.”
Art. 25.2 anger en skyldighet som måste förstås i kombination med art. 25.1. Slutsatsen av art.
25.2 innebär att de system som den personuppgiftsansvarige använder för behandling alltid ska
användas på ett sätt som med utgångspunkt behandlar så lite personuppgifter som möjligt. Det
ska inte krävas ytterligare åtgärder från den registrerades sida att genom inställningar minska
behandlingen. Behandlingen ska som utgångspunkt alltid samla så lite information som möjligt
och det ska vara upp till den registrerade att aktivt välja att dela med sig av mer information.
2.4.6 Skyldigheter avseende informationssäkerhet
Dataskyddsförordningen uppställer krav för att personuppgiftsansvariga ska sörja för en god
säkerhet i behandlingsverksamheten. Utan en god säkerhet för behandlingen så finns det inget
skydd i dataskyddet. Därav ska vi i det följande undersöka vad säkerhet i samband med behand-
lingen innebär för den personuppgiftsansvarige. Art. 32 anger en skyldighet för den personupp-
giftsansvarige att vidta lämpliga åtgärder för att säkerställa en säkerhetsnivå som är lämplig i
förhållande till risken med behandlingen, med beaktande av den senaste utvecklingen, genom-
förandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål. Skyldig-
heten är med andra ord förhållandevis oklart vilka åtgärder som den personuppgiftsansvariga
ska vidta i enskilda situationer för att uppfylla skyldigheten, då lämpliga åtgärder för att sä-
kerställa en lämplig säkerhetsnivå är högst mångtydigt. För att upprätthålla säkerheten med
behandlingen anger ingressen punkt 83 att den personuppgiftsansvarige ska utvärdera riskerna
med behandlingen och vidta åtgärder, såsom kryptering, för att minska dem. En förutsättning
för att kunna bedöma vilka säkerhetsåtgärder som den personuppgiftsansvarige ska genomföra
49
är att en riskbedömning görs med avseende på behandlingsverksamheten. Sådan riskbedömning
har redogjorts för i avsnitt 2.4.3 och syftar just till att identifiera hur sannolik och allvarlig
risken är som behandlingen är förenad med.
Art. 32.1 a-d anger åtgärder som kan vara lämpliga för att säkerställa en adekvat säkerhetsnivå
i förhållande till risken. De ska däremot inte förstås som uteslutande utan endast exemplifie-
rande för vad som kan utgöra lämpliga säkerhetsåtgärder. Däremot är dessa åtgärder inte kon-
kreta till vilka tekniska och organisatoriska lösningar som kan implementeras, med undantag
av pseudonymisering och kryptering i art. 32.1 a. De andra exemplifierade åtgärderna kan sna-
rare tolkas som förhållningssätt än åtgärder. Enligt art. 32.1 b kan en åtgärd innebära ”förmågan
att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos be-
handlingssystemen och tjänsterna”. Formuleringen kan knappast tolkas som en åtgärd utan sna-
rare ett förhållningssätt till behandlingen som kan innebära flera olika praktiska åtgärder.
Begreppen konfidentialitet, integritet och tillgänglighet utgör centrala begrepp inom informat-
ionssäkerheten.60 Konfidentialitet kan övergripande beskrivas som en säkerhet i att obehöriga
inte får tillgång till informationen och tillgänglighet att behöriga har tillgång till informationen.
I det här sammanhanget ska integritet förstås i perspektivet av informationssäkerhet och inte
genom den juridiska begreppsbildningen, det åsyftar alltså möjligheten att säkerställa att in-
formationen inte obehörigen ändras eller förstörs. Art. 32.1 c anger att en rimlig åtgärd kan
innebära förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid
vid en fysisk eller teknisk incident. Med andra ord kan det vara lämpligt att den personuppgifts-
ansvarige har möjligheter att reparera, åtgärda eller minska skadan för de fall säkerhetsnivån
inte varit tillräcklig hög och ett säkerhetsintrång skett samt risken med behandlingen förverkli-
gats. Med teknisk incident ska förstås personuppgiftsincident vilket vi kommer återkomma till
senare. Förordningen anger även i art. 32.1 d att en lämplig åtgärd även kan innebära ”ett för-
farande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och
organisatoriska åtgärder som ska säkerställa behandlingens säkerhet”. Återigen går det knapp-
ast att summera art. 32. d till att innefatta en åtgärd utan snarare ett förhållningssätt till hur den
personuppgiftsansvarige ska arbeta med informationssäkerhetsaspekter i behandlingsverksam-
heten;
”[I]nformationssäkerhet inte är ett specifikt mål man uppnår och sedan är färdig med; säkerhets-
arbetet handlar istället om en ständig pågående process som inbegriper kontinuerligt uppdaterade
60 Magnusson Sjöberg, s. 65
50
analyser av behov och krav, hot och risker, val av implementering av säkerhetsåtgärder samt upp-
följning av arbetet.”61
I ett översiktligt perspektiv av den personuppgiftsansvariges skyldighet avseende vad som kan
utgöra lämpliga säkerhetsåtgärder enligt art. 32.1 ger snarare bilden av ett systematiskt förhåll-
ningssätt till informationssäkerhet. Den personuppgiftsansvarige ska beakta grundläggande och
centrala begrepp inom informationssäkerhet (art. 32.1 b) och vara förberedd om risken förverk-
ligas och ett säkerhetsintrång sker (art. 32.1 c). Detta förhållningssätt innebär också ett konti-
nuerligt arbete i att kontrollera behandlingens säkerhet (art. 32.1 d). Hur omfattande skyldig-
heten är för den personuppgiftsansvarige att arbeta med informationssäkerhet i behandlings-
verksamheten är i sin tur helt beroende på vilken risk som behandlingen är förknippad med.
Lämpliga säkerhetsåtgärder i behandlingsverksamheten syftar till att hantera och minska ris-
kerna med behandlingen samt kunna bemöta situationer då riskerna förverkligas. Vid bedöm-
ningen av lämpliga säkerhetsåtgärder ska den personuppgiftsansvariga dessutom beakta ge-
nomförandekostnaderna för åtgärderna vilket ger en viss lättnad i skyldigheten. Det går inte att
dra några slutsatser för vad den personuppgiftsansvariges skyldigheter avseende informations-
säkerhet innebär generellt utan det bli en bedömningsfråga i enskilda fall. Det är däremot klart
att för att den personuppgiftsansvarige ska kunna förstå sin skyldighet avseende informations-
säkerhet enligt art. 32 så förutsätter det en noggrann riskbedömning i behandlingsverksamheten.
Om den personuppgiftsansvariges säkerhetsåtgärder brister så kan det innebära att en person-
uppgiftsincident inträffar, vilket kan föranleda en anmälningsskyldighet som är förenad med
den lägre sanktionsavgiften.62 Av legaldefinition i art. 4.12 anges en personuppgiftsincident
innebära; ”en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller
ändring eller obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförs,
lagras eller på annat sätt behandlas.” När en personuppgiftsincident inträffar är den personupp-
giftsansvarige upptäcker incidenten så är denne skyldig att anmäla händelsen både till tillsyns-
myndigheten enligt art. 33 och till den registrerade vars personuppgifter berörs enligt art. 34.
Anmälan till tillsynsmyndigheten ska göras efter det att den personuppgiftsansvarige har fått
vetskap om incidenten. Detta innebär uttryckligen att om den personuppgiftsansvarige aldrig
får vetskap om incidenten (vilket är fullt möjligt med tanke på personuppgiftsincidentens art)
så inträder heller aldrig skyldigheten. Vilket i och för sig är rimligt för hur kan det krävas av en
personuppgiftsansvarig att anmäla ett förhållande som denne inte känner till? Samtidigt kan
61 Magnusson Sjöberg, s. 60 62 Art. 83.4
51
man eventuellt sätta detta krav i relation till skyldigheten avseende informationssäkerhet i art.
32. Om den personuppgiftsansvarige blir lidande av en personuppgiftsincident som denne ald-
rig upptäcker, och därmed heller aldrig anmäler till tillsynsmyndigheten, har den personupp-
giftsansvarige då genomfört lämpliga skyddsåtgärder? Enligt en bokstavstolkning av anmäl-
ningsskyldigheten i art. 33 kan skyldigheten endast uppstå om den personuppgiftsansvarige
upptäcker incidenten. En sådan tolkning leder även till att om en personuppgiftsincident sker
och den personuppgiftsansvarige inte upptäcker incidenten, så är det snarare fråga om en brist
i informationssäkerheten enligt art. 32 än anmälningsskyldigheten i art. 33. Däremot är det en
svårare gränsdragningsfråga i situationer när en av den personuppgiftsansvariges anställda upp-
täcker en personuppgiftsincident men inte anmäler händelsen. Om så är fallet och den anställde
är en systemtekniker med ansvar för säkerhetsåtgärder i behandlingsystemet kan den person-
uppgiftsansvarige troligtvis anses brista i anmälningsskyldigheten genom att inte ge tydligare
instruktioner till den anställde för vad denne ska göra i sådana situationer. Men om den anställde
är säljare och det typiskt sett inte ingår i dennes arbetsuppgifter att identifiera och anmäla per-
sonuppgiftsincidenter, kan den personuppgiftsansvarige då anses brista i anmälningsskyldig-
heten? Med endast dataskyddsförordningens underlag kan vi inte svara på var gränsdragningen
går för när den personuppgiftsansvarige ska anses upptäcka incidenten. Givet att det person-
uppgiftsansvarige har upptäckt och är medveten om personuppgiftsincidenten ska denne utan
onödigt dröjsmål, dock senast inom 72 timmar från det att incidenten upptäcktes, anmäla hän-
delsen till tillsynsmyndigheten. Om den personuppgiftsansvarige brister i tidskravet och lämnar
in anmälan senare än 72 timmar ska även anmälan följas av en motivering till förseningen.
Motiveringen kommer då rimligtvis ligga till grund för om den personuppgiftsansvarige ska
anses ha brustit i anmälningsskyldigheten eller inte. Art. 33.3 a-d anger vilken information och
dokumentation som anmälan ska innehålla. Det framgår förhållandevis tydligt i artiklarna vil-
ken information detta avser. Det finns ett undantag för anmälningsskyldigheten avseende per-
sonuppgiftsincidenter vilket föreligger när det är ”osannolikt att incidenten medför någon risk
för fysiska personers rättigheter och friheter” (art. 33). Undantaget gäller alltså inte bara för den
registrerade vars personuppgifter har blivit föremål för en personuppgiftsincident utan även
andra personers rättigheter och friheter. Ingressen punkt 85 anger att undantaget gäller för när
”den personuppgiftsansvarige, i enlighet med ansvarsprincipen, kan påvisa att det är osannolikt
att personuppgiftsincidenten kommer medföra en risk för fysiska personers rättigheter och fri-
heter”. Med ansvarsprincipen torde förordningen åsyfta principen om ansvarsskyldighet i art.
5.2 där den personuppgiftsansvarige ska ansvara för och kunna visa att behandlingsverksam-
heten sker i enlighet med de allmänna dataskyddsprinciperna i art. 5.1. Hur dessa principer ska
52
förstås i samband med en personuppgiftsincident samt hur man med beaktande av dessa kan
komma fram till att personuppgiftsincidenten inte sannolikt riskerar personers rättigheter och
friheter enligt dataskyddsförordningen, är oklart. Om man som exempel tar en situation där den
registrerades e-postadress blir tillgänglig för en obehörig person (vilket vore en personuppgifts-
incident) så framgår det inte hur de allmänna dataskyddsprinciperna kan hjälpa för att bestämma
om personers rättigheter eller friheter riskeras med anledning av incidenten. Å andra sidan kan
ansvarsprincipen också endast hänvisa till den personuppgiftsansvariges förmåga att kunna på-
visa en sådan riskbedömning där denne kommer fram till att personers rättigheter och friheter
inte sannolikt riskeras i och med personuppgiftsincidenten.
En personuppgiftsincident kan också innebära en skyldighet för den personuppgiftsansvarige
att anmäla händelsen till den registrerade enligt art. 34 i syfte att denne ska kunna vidta lämpliga
skyddsåtgärder63. Anmälningsskyldigheten till den registrerade har däremot högre ställda krav
än anmälningsskyldigheten till tillsynsmyndigheten. Skyldigheten att anmäla en personupp-
giftsincident till den registrerade (vars uppgifter berörs av incidenten) uppstår om personupp-
giftsincidenten sannolikt leder till en hög risk för fysiska personers rättigheter och friheter.
Återigen ska risken bedömas inte bara för den registrerade utan även andra personer som kan
lida skada av personuppgiftsincidenten samt riskbedömningen ska troligtvis göras på samma
grunder som vid anmälningsskyldigheten till tillsynsmyndigheten, detta framgår dock inte av
förordningstexten. Anmälan till den registrerade ska göras utan onödigt dröjsmål men har ingen
begräsning i tiden som vid anmälningsskyldigheten till tillsynsmyndigheten. Vilken Informat-
ionen anmälan till den registrerade ska innehålla framgår av art. 34.2 och kommer inte närmare
redogöras för. Skyldigheten att anmäla en personuppgiftsincident till den registrerade är förenat
med flera undantag i art. 34.3 a-c. Om anmälningsskyldigheten innebär en oproportionell an-
strängning (exempelvis vid många registrerade som berörs av personuppgiftsincidenten) så kan
den personuppgiftsansvarige istället allmänheten informeras, givet att de registrerade informe-
ras lika effektivt som vid en personlig anmälan till den registrerade (art. 34.3 c). Undantagen
från anmälningsskyldigheten i art. 34.3 a-b ger den personuppgiftsansvarige en möjlighet att
vidta åtgärder som undantar anmälningsskyldigheten och därmed ”läka bristen” efter det att
incidenten inträffat. Om den personuppgiftsansvarige vidtar lämpliga tekniska och organisato-
riska skyddsåtgärder på de personuppgifter som påverkades av personuppgiftsincidenten (ex-
empelvis kryptering av uppgifter som obehörigen röjts) så kan detta undanta anmälningsskyl-
digheten enligt art. 34.3 a. En förutsättning för att anmälningsskyldigheten ska inträda är att
63 Ingressen punkt 86
53
personuppgiftsincidenten innebär en sannolik och hög risk för fysiska personer, men om den
personuppgiftsansvarige kan vidta ytterligare åtgärder för att den höga risken inte längre ska
vara sannolik, så undantar även detta anmälningsskyldigheten enligt art. 34.3 b. För att kunna
bedöma under vilka omständigheter som den personuppgiftsansvarige med egna åtgärder kan
läka anmälningsskyldigheten som annars vore tillämplig är beroende av flera faktorer såsom
personuppgiftsincidentens art, omfattning, sammanhang och potentiella effekter, och de be-
rörda uppgifternas art, omfattning och sammanhang samt en övergripande riskbedömning i alla
ovangivna omständigheter. Det går med andra ord svårligen dra några slutsatser om anmäl-
ningsskyldigheten endast på grundval av förordningstexten utöver de redan återgivna. Däremot
bör det påpekas att anmälningsskyldigheten är sanktionerad med den lägre sanktionsnivån och
föranleder viss försiktighet för den personuppgiftsansvarige i sina bedömningar då en person-
uppgiftsincident till sin natur föranleder flera frågeställningar avseende den personuppgiftsan-
svariges skyldigheter enligt dataskyddsförordningen. Har riskbedömningen avseende behand-
lingsverksamheten varit korrekt? Har lämpliga säkerhetsåtgärder vidtagits? Om en personupp-
giftsincident inträffat så kan en anmälningsskyldighet uppstå för den personuppgiftsansvarige
och anmälan ska innehålla information som mycket möjligtvis kan påvisa fler brister i behand-
lingsverksamheten.
2.4.7 Skyldigheten avseende registerföring
Alla personuppgiftsansvariga (eller i tillämpliga fall dennes företrädare) ska som huvudregel
föra ett register över behandlingen som utförs under dennes ansvar enligt art. 30.1 och registret
ska vara upprättat skriftligt och i elektronisk form enligt art. 30.3. Skyldigheten som är sankt-
ionerad med den lägre nivån gäller även för personuppgiftsbiträden enligt art. 30.2 fast skiljer
sig till viss del vad gäller vilken information som ska registerföras. Syftet med registerföringen
är att utgöra underlag med vilken den personuppgiftsansvariga ska kunna visa att personupp-
giftsbehandlingen sker i enlighet med dataskyddsförordningen och bör förstås som ett uttryck
av principen om ansvarsskyldighet i art. 5.2 och den allmänna skyldigheten i art. 24. Detta
framgår av punkt 82 i ingressen;
”För att påvisa att denna förordning följs bör de personuppgiftsansvariga och personuppgiftsbi-
trädena föra register över behandlingen som sker under deras ansvar. Alla personuppgiftsansva-
riga och personuppgiftsbiträden bör vara skyldiga att samarbeta med tillsynsmyndigheten och på
dennes begäran göra detta register tillgängligt, så att det kan tjäna som grund för övervakning av
behandlingen.”
54
Informationen som ska registerföras avseende personuppgiftsansvariga framgår av art. 30.1 a-
g samt för personuppgiftsbiträden art. 30.2 a-d och det framgår förhållandevis tydligt vilken
information som ska registerföras varav vi inte kommer gå djupare in på det. Däremot ska vi se
närmare till undantaget för skyldigheten som är tillämpligt för företag eller organisationer som
sysselsätter färre än 250 personer enligt art. 30.5. I ingressen punkt 13 motiverar man undanta-
get enligt följande; ”För att ta hänsyn till mikroföretagen samt de små och medelstora företa-
gens särskilda situation innehåller denna förordning ett undantag för organisationer som sys-
selsätter färre än 250 personer med avseende på registerföring.” Samlingsbegreppet för mikro-
företag samt små och medelstora företag går under benämningen ”SMF” och punkt 13 i ingres-
sen hänvisar även till art. 2 i bilagan till kommissionens rekommendation 2003/361/EG64. Där-
emot formuleras undantaget i art. 30.5 att gälla för ”företag eller organisationer som sysselsätter
färre än 250 personer”. Art. 30.5 tar med andra ord endast hänsyn till antalet sysselsatta och
nämner inget om det är fråga om SMF som i sig även innebär ett ställningstagande till företagets
omsättning. Exempel på personuppgiftsansvariga där frågeställningen blir relevant gäller ex-
empelvis för bemanningsföretag. Dessa kan utgöra små bolag men fortfarande sysselsätta över
250 personer. Ska dessa företag kunna dra nytta av undantaget? Till viss vägledning kan vi se
till EU kommissionens rekommendation 2003/361/EG som dataskyddsförordningen hänvisar
till i ingressen, som anger att den övre gränsen för att ett företag ska kunna anses tillhöra SMF-
kategorin innebär att antalet sysselsatta inte får överstiga 250 personer och den årliga omsätt-
ningen inte får överstiga 50 miljoner euro.65 Det ger därmed anledning att misstänka att syssel-
sättningsgränsen på 250 personer i art. 30.5 är knuten till gränsen för vad som får anses utgöra
ett företag i SMF-kategorin, särskilt med beaktande av formuleringen i ingressen och därmed
bör man även kunna beakta omsättningen vid bedömningen för huruvida undantaget är tillämp-
ligt eller inte. Å andra sidan behöver man också beakta att ett företag som sysselsätter fler än
250 personer även kan innefatta omfattande personuppgiftsbehandling avseende de sysselsatta
varav en låg omsättning inte borde undanta skyldigheten till registerföring i dataskyddssyn-
punkt.
Det går med andra ord inte dra någon exakt slutsats för hur SMF-begreppet ska tolkas vid till-
lämpningen av undantaget från skyldigheten till registerföring i art. 30.5 då vi ser bärande ar-
gument för bägge tolkningarna. Dataskyddsförordningen anger inte uttryckligen att undantaget
i art. 30.5 gäller för företag i SMF-kategorin, men hänvisar i ingressen punkt 13 att undantaget
64 Kommissionens rekommendation av den 6 maj 2003 om definitionen av mikroföretag samt små och medelstora
företag (K(2003) 1422) EUT L 124, 20.5.2003, s. 36 65 Art. 2.1 kommissionens rekommendation (2003/361/EG)
55
ska förstås som att gälla för företag i den kategorin. Om tillämpningen av undantaget är bero-
ende av en bedömning huruvida ett företag ska anses tillhöra SMF-kategorin så bör man beakta
omfattningen och lämpliga åtgärder i personuppgiftsbehandlingen och inte endast strikt bedöma
utefter vad som utgör ett företag i SMF-kategorin enligt kommissionens rekommendation.
Även för de fall man bedömer att undantaget är tillämpligt så är det förenat med flera villkor
enligt art. 30.5. Undantaget är oavsett inte tillämplig för behandling av känsliga personuppgifter
enligt art. 9.1, personuppgifter rörande fällande domar samt överträdelser enligt art. 10 eller
behandlingsverksamhet som är förenad med en sannolik risk66. Undantaget är dessutom heller
inte tillämpligt om ”behandlingen inte är tillfällig”. Eller formulerat utan dubbla negationer;
Undantaget gäller endast vid tillfällig behandling. Men hur ska man förstå tillfällig behandling
i den här kontexten? Vilka förutsättningar krävs för att en behandling ska anses tillfällig? Det
finns bara ett annat ställe i förordningen som nämner ”tillfällig behandling” vilket är i art. 27.2
a som avser personuppgiftsansvarigas skyldighet att utse en företrädare för de fall den person-
uppgiftsansvarige är etablerad utanför EU men behandlar personuppgifter på registrerade inom
unionen (art. 3.2). Ett undantag för skyldigheten att utse en företrädare föreligger under vissa
omständigheter men villkoras med att det måste avse ”tillfällig behandling”. Men art. 27.2 a
utvecklar inte heller hur man ska förstå tillfällig behandling. Det finns med andra ord inget
underlag i dataskyddsförordningen för vad som utgör tillfällig behandling. Det vi däremot kan
se är att dataskyddsförordningen omnämner ”behandling som hör till den personuppgiftsansva-
riges kärnverksamhet” i art. 37.1 b-c samt ingressen punkt 97 vilket avser omständigheter för
när den personuppgiftsansvarige har en skyldighet att utse ett dataskyddsombud. Dessvärre ut-
vecklar förordningen inte heller för vad som utgör ”kärnverksamhet som består av behandlings-
verksamhet” men vi kan använda oss av begreppet för att i vart fall förstå dataskyddsförord-
ningens åsyftning med ”tillfällig behandling” något bättre, då en tillfällig behandling inte kan
anses samtidigt utgöra behandling som ingår i en kärnverksamhet. Dessa begrepp torde rimligt-
vis stå i motsatsförhållande till varandra. Därav borde man förstå undantaget för registerföring
gälla för personuppgiftsansvariga som sysselsätter förre än 250 personer och där behandlingen
endast är tillfällig. Vad som utgör tillfällig behandling är oklart och blir en bedömningsfråga
från fall till fall men kan inte vara gällande om behandlingen ingår i den personuppgiftsansva-
riges kärnverksamhet. Undantaget gäller oavsett inte för behandling som avser känsliga per-
sonuppgifter, fällande domar och överträdelser eller om behandlingen innebär en sannolik risk
för de registrerade.
66 Se avsnitt 2.4.3 om riskbedömning
56
2.4.8 Skyldigheten att utse ett dataskyddsombud
Under vissa omständigheter så har den personuppgiftsansvarige en skyldighet att utse ett data-
skyddsombud vilket vi kommer gå igenom i det närmaste. I den här framställningen kommer
vi inte undersöka dataskyddsombudets ställning (art. 38) eller dataskyddsombudets uppgifter
(art. 39) utan helt fokusera på den personuppgiftsansvariges skyldighet att utse ett dataskydds-
ombud enligt art. 37. Innan vi går in på förutsättningarna som aktiverar skyldigheten att utse ett
dataskyddsombud ska vi först kort gå igenom vad skyldigheten innebär. Utnämningen av ett
dataskyddsombud enligt art. 37 innebär att den personuppgiftsansvarige utser en person på
grundval av dennes yrkesmässiga kvalifikationer, i synnerhet dess sakkunskap om lagstiftning
och praxis avseende dataskydd (art. 37.5), att representera den personuppgiftsansvarige i frågor
som rör dataskydd samt styra det dataskyddsrelaterade arbetet inom företaget. Personen som
utnämns kan vara anställd av den personuppgiftsansvarige men får också vara extern som utför
uppdraget genom tjänsteavtal (art. 37.6). Dataskyddsombudets kontaktuppgifter ska offentlig-
göras samt meddelas till tillsynsmyndigheten (art. 37.7). Är den personuppgiftsansvarige skyl-
dig att utse ett dataskyddsombud kan detta även ge upphov till vissa förhållningsregler för den
personuppgiftsansvarige med anledning av dataskyddsombudets ställning och uppgifter, mer
om detta framgår i art. 38 och 39.
I det följande kommer vi gå igenom vilka förutsättningar som aktualiserar skyldigheten för den
personuppgiftsansvarige. Om den personuppgiftsansvarige är en myndighet eller ett offentligt
organ så föreligger en skyldighet att utse ett dataskyddsombud enligt art. 37.1 a. Detta gäller
däremot inte för domstolarnas dömande verksamhet. För personuppgiftsansvariga som är verk-
samma inom den privata sektorn inträder skyldigheten för personuppgiftsansvariga vars kärn-
verksamhet består av personuppgiftsbehandling och innefattar ett av följande; 1) där behand-
lingen kräver regelbunden och systematisk övervakning i stor omfattning, 2) behandling består
av omfattande behandling av känsliga personuppgifter eller personuppgifter rörande fällande
domar i brottmål och överträdelser eller 3) om så krävs enligt unionsrätten eller medlemsstater-
nas nationella rätt. Om skyldigheten att utse ett dataskyddsombud framgår av unionsrätten eller
medlemsstaternas nationella rätt så krävs förvisso inte att behandlingsverksamheten ingår i den
personuppgiftsansvariges kärnverksamhet. Unionsrätten eller medlemsstaternas nationella rätt
är däremot trolig att avse viss typ av behandlingsverksamhet till skillnad mot dataskyddsför-
ordningen som avser personuppgiftsansvarigas verksamheter som föranleder en skyldighet att
utse ett dataskyddsombud. En förutsättning för att skyldigheten att utse ett dataskyddsombud
ska komma i fråga är att personuppgiftsbehandlingen ingår i den personuppgiftsansvariges
57
kärnverksamhet. Med sådan behandling avses att behandlingsverksamheten ska utgöra den per-
sonuppgiftsansvariges primära verksamhet och inte kompletterande personuppgiftsbehandling,
vilket framgår av ingressen punkt 97; ”I den privata sektorn avser personuppgiftsansvarigas
kärnverksamhet deras primära verksamhet och inte behandling av personuppgifter som kom-
pletterande verksamhet”. Vad som exempelvis kan utgöra kompletterade behandlingsverksam-
het vore löneadministration eller kundhanteringssystem, vars syfte snarare kan ses som ett nöd-
vändigt komplement i ett företag som annars har ett primärt syfte i att exempelvis sälja bilar. Å
andra sidan finns det företag vars primära syfte är att utföra löneadministration åt andra bolag
varav personuppgiftsbehandlingen i det avseendet knappast kan ses som kompletterande. Givet
att behandlingsverksamheten ingår i företagets kärnverksamhet så förutsätter det även att den
primära behandlingsverksamheten kräver regelbunden och systematisk övervakning i stor om-
fattning (art. 37.1 b) eller det är fråga om omfattande behandling av känsliga uppgifter (art. 37.1
c). Angående förutsättningarna i art. 37.1 b så avser det behandlingsverksamheter som på grund
av sin karaktär, omfattning, och/eller sina ändamål kräver regelbunden och systematisk över-
vakning över de registrerade i stor omfattning. Dataskyddsförordningen anger inga exempel för
vilken typ av behandlingsverksamhet detta kan åsyfta. Vi kan däremot föreställa oss att för ett
företag vars kärnverksamhet primärt inbegriper personuppgiftsbehandling bör det förhållande-
vis tydligt framgå om karaktären, omfattningen eller ändamålen med behandlingen, var för sig
eller i kombination, erfordrar en omfattande och regelbunden övervakning av behandlingen.
Detta borde i praktiken inte utgöra en svår bedömningsfråga. Förutsättningarna i art. 37.1 c
avser behandlingsverksamheter som i stor omfattning behandlar känsliga personuppgifter enligt
art. 9 och personuppgifter rörande fällande domar och överträdelser enligt art. 10. Som påpekats
tidigare erbjuder dataskyddsförordningen inga riktlinjer för omfattningsbedömningen; är 1000
registrerade omfattande eller krävs det 100 000 registrerade? Utan närmare riktlinjer är det svårt
att göra den bedömningen. Däremot är det troligt att omfattningskravet i den här kontexten bör
tolkas som förhållandevis låg, med hänsyn till att dataskyddsförordningen återkommande på-
pekar att behandlingsverksamhet med känsliga personuppgifter är förenad med förhöjd risk för
den registrerades rättigheter och friheter.67
67 Se avsnitt 2.4.3 om riskbedömningen
58
2.5 Administrativa sanktionsbestämmelser
En av de uppmärksammade nyheterna med dataskyddsförordningen är införandet av administ-
rativa sanktionsavgifter. Att införliva dessa sanktionsavgifter i den nationella rättsordningen
torde inte utgöra något problem för Sveriges vidkommande som redan har flera liknande sankt-
ionsavgifter, exempelvis miljösanktionsavgifter i miljöbalken.68 (1998:808) Kap. 30 och för-
ordning (2012:259) om miljösanktionsavgifter.69 Dataskyddsförordningen har inga straffrätts-
liga bestämmelser men tillåter sådan nationell särlagstiftning.70 Därmed låter vi det i skrivandes
vara osagt om vi kommer se kompletterande straffrättsliga bestämmelser på dataskyddsområdet
i Sverige.
2.5.1 Sanktionsavgiftsgrundande bestämmelser
De allmänna villkoren för påförande av administrativa sanktionsavgifter regleras i artikel 83.
Datainspektionen som utgör tillsynsmyndigheten i Sverige är bemyndigad genom artikel 58.2j
att påföra dessa avgifter vid bristande regelefterlevnad. Däremot har tillsynsmyndigheten befo-
genhet att utfärda flera andra åtgärder innan administrativa sanktionsavgifter får påföras. Dessa
åtgärder framgår i art. 58.2 och utgörs av a) varning, b) reprimand, c-e, g och j) förläggande,
h) återkallelse av certifiering samt f) tillfälligt eller definitivt utfärdade begränsning och förbud
för hantering av personuppgifter. Det är först efter dessa åtgärder är uttömda eller otillräckliga
som administrativa sanktionsavgifter får påföras i enlighet med art. 83.1 i, och då endast för
någon av de sanktionsavgiftsgrundande bestämmelserna i art. 83.4, 83.5 och 83.6. Sanktions-
avgifter kan därmed delas in i tre olika grupper där artikel 83.4 har ett lägre maximibelopp i
förhållande till artikel 83.5 och 83.6 som har samma maximibelopp.
Den lägre sanktionsavgiften71 i art. 83.4 uppgår till ”… 10 000 000 EUR eller, om det gäller
företag, på upp till 2 % av den totala globala årsomsättningen under föregående budgetår, be-
roende på vilket värde som är högst”. Sanktionsavgiften avser överträdelser för;
a) personuppgiftsansvarigas och personuppgiftsbiträdens skyldigheter enligt art. 8, 11, 25–
39, 42 och 43
b) certifieringsorganens skyldigheter enligt art. 42 och 43
68 Andra exempel vore byggsanktionsavgifter enligt plan- och bygglag (2010:900), sanktionsavgifter enligt fiske-
lag (1993:787) och sanktionsavgifter enligt produktsäkerhetslag (2004:451). 69 Dataskyddsförordningen ingressen p.151 anges det att Danmark och Estlands rättssystem inte tillåter administ-
rativa sanktionsavgifter enligt förordningen och föreslår alternativa och likvärdiga lösningar. 70 Artikel 84 samt ingressen p. 149 71 Författarens egna benämning på den administrativa sanktionsavgiften i artikel 83.4.
59
c) övervakningsorganets skyldigheter enligt art. 41.4
Den högre sanktionsavgiften72 enligt art. 83.5 uppgår till ”… 20 000 000 EUR eller, om det
gäller företag, på upp till 4 % av den totala globala årsomsättningen under föregående budgetår,
beroende på vilket värde som är högst” och gäller vid överträdelser av;
a) de grundläggande principerna för behandling, inklusive samtycke, enligt art. 5, 6, 7 och
9
b) registrerades rättigheter enligt art. 12–22
c) överföring av personuppgifter till en annan mottagare i ett tredjeland eller en internat-
ionell organisation enligt art. 44–49
Utöver ovanstående anger art. 83.5 e även sanktionsavgiftsgrundande överträdelse för underlå-
telse att ge tillgång till uppgifter i strid med art. 58.1 samt underlåtenhet att rätta sig efter vissa
av tillsynsmyndighetens åtgärder. Det framgår inte klart vilka åtgärder i art. 58.2 som åsyftas
då formuleringen i art. 83.5 e kan tolkas på flera sätt. Bestämmelsen anger att ”Underlåtenhet
att rätta sig efter … en tillfällig eller permanent begränsning av behandling av uppgifter … i
enlighet med art. 58.2” vilket både kan förstås som ett beslut enligt art. 58.2 f att ”införa en
tillfällig eller definitiv begränsning av, inklusive förbud mot, behandling” men även som ett
förläggande enligt art. 58.2 g om ”…begränsning av behandling enligt art. 16, 17 och 18 …”.
Däremot har art. 58.2 f en mer generell begränsning av behandling i förhållande till art. 58.2 g
som anger att det gäller begränsning av behandling rörande den registrerades rättigheter enligt
art. 16, 17 och 18, vilka i sig även är direkt sanktionsavgiftsgrundande för överträdelser enligt
art. 83.5 b. Detta förhållande i kombination med att den tredje och sista sanktionsavgiftsgrun-
dande bestämmelsen i art. 83.6 (se nedan) erbjuder en generell sanktionsgrund vid underlåten-
het att rätta sig efter ett förläggande meddelad av en tillsynsmyndighet vore det en mer syste-
matisk tolkning om bestämmelsen i art. 83.5 e om begränsning av behandling åsyftade en åt-
gärd enligt art. 58.2 g och den registrerades rättigheter.
Bestämmelsen i art. 83.5 e anger det även som sanktionsgrundande vid ”underlåtenhet att rätta
sig efter … ett beslut om att avbryta uppgiftsflödena som meddelats av tillsynsmyndigheten i
enlighet med artikel 58.2 …”. Formuleringen antyder att det rör sig om ett förläggande ”… om
att flödet av uppgifter till en mottagare i tredje land eller en internationell organisation ska
avbrytas” enligt art. 58.2 j. En sådan tolkning har också en systematisk logik då art. 44–49 om
överföring av personuppgifter till tredjeländer är direkt sanktionerade genom art. 83.5 c. Den
72 Författarens egna benämning på den administrativa sanktionsavgiften i artikel 83.5.
60
otydligaste sanktionsgrundande bestämmelsen i art. 83.5 e gäller ”[u]nderlåtenhet att rätta sig
efter ett förläggande … som meddelats av en tillsynsmyndighet i enlighet med artikel 58.2 …”
vilket enligt en lexikalisk tolkning ger samma effekt som art. 83.6 vilken utgör en generell
sanktionsgrund för ”… underlåtenhet att rätta sig efter ett förläggande från en tillsynsmyndighet
i enligt artikel 58.2 …”. En sådan tolkning skulle rendera art. 83.6 överflödig och verkningslös.
En systematisk tolkning föreslår däremot att art. 83.5 e ska förstås i kombination med art. 83.5
a och endast avse förläggande enligt art. 58.2 d och som har sin sakliga grund i artiklarna 5, 6,
7 och 9.
Avslutningsvis ska också nämnas att art. 83.5 d även sanktionerar alla skyldigheter som följer
av lagstiftning som antagits på grundval av förordningens kapitel IX med den högre sanktions-
nivån. Kapitel IX anger bestämmelser för särskilda behandlingssituationer och anger ett antal
områden som antingen är tvingande eller frivilliga för medlemsstaterna att stifta nationell lag-
stiftning inom. Här bör påpekas att art. 83.5 d inte möjliggör för att sanktionera sådan nationell
lagstiftning utan anger att sådan lagstiftning är sanktionerad. Detta kan bero på att visa av ar-
tiklarna i kapitel IX anger undantag från dataskyddsförordningen och därmed kräver särskild
sanktionering. Detta kan tolkas som att förordningen lämnar öppet för medlemsstaterna att an-
passa dataskyddet i förhållande till andra närliggande rättsområden73 men anger att sådana be-
stämmelser är så pass skyddsvärda att de erhåller den högre sanktionsnivån.
Den sista sanktionsgrundande bestämmelsen återfinns i art. 83.6 och som vi endast i korthet
berört tidigare. Bestämmelsen anger att underlåtenhet att rätta sig efter ett förläggande från en
tillsynsmyndighet enligt art. 58.2 är sanktionsgrundande med den högre sanktionsavgiften. För-
läggande i art. 58.2 återfinns under styckena c-e, g och j men som vi sett ovan så är flera av
dessa redan sanktionerade genom art. 83.5 e. I ett systematiskt perspektiv bör förlägganden
enligt art. 58.2 sanktioneras genom art. 83.5 e för de fall förläggandena berör ett underliggande
sakförhållande rörande någon av artiklarna angivna i art. 83.5 a-c och i andra fall genom den
mer generella sanktionen avseende förläggande i art. 83.6.
2.5.2 Sanktionsavgiftsbeloppets bestämmande och utdömande
I dataskyddsförordningen skrivs de administrativa sanktionsavgifterna endast ut som olika
maximibelopp men exakt vilka belopp kan vi vänta oss att dessa kommer sättas till? Närmare
73 Personuppgiftsbehandling i förhållande till yttrande- och informationsfriheten (artikel 85), allmänhetens tillgång
till allmänna handlingar (artikel 86), nationella identifikationsnummer (artikel 87), anställningsförhållanden (arti-
kel 88), allmänt intresse och vetenskaplig forskning (artikel 89), tystnadsplikt (artikel 90) samt kyrkliga och reli-
giösa samfund (artikel 91).
61
bestämmelser om bedömningsgrunderna för sanktionsavgifternas påförande framgår i art. 83.2
a-k. Dessa avgifter skall då i varje enskilt fall vara effektiva, proportionella och avskräckande.
Därmed kan vi fastställa att sanktionsavgifterna dels kommer påföras efter en enskild bedöm-
ning i det enskilda fallet, dels att maximibeloppet som kan påföras kommer variera beroende
på vem som träffas av sanktionen. Formuleringen av sanktionsavgifterna lyder ”… upp till 10
000 000 EUR [eller 20 000 000 EUR] eller, om det gäller företag, på upp till 2 % [eller 4 %] av
den totala globala årsomsättningen under föregående budget år, beroende på vilket värde som
är högst”. Det är då möjligt att företag som träffas av sanktionsavgifterna har en högre årsom-
sättning föregående budgetår än det maximibelopp som skrivs ut vilket därmed höjer maximi-
beloppet. Med tanke på den mångfald av associationsrättsliga konstruktioner som figurerar
inom Europa, leder detta till frågan om hur man ska avgränsa ett företag i den här kontexten.
Definitionen av företag i art. 4.18 lyder ”en fysisk person eller juridisk person som bedriver
ekonomisk verksamhet, oavsett dess juridiska form, vilket inbegriper partnerskap eller före-
ningar som regelbundet bedriver ekonomisk verksamhet”. I ingressen punkt 150 står det att om
sanktionsavgiften åläggs företag ”bör ett företag i detta syfte anses vara ett företag i den mening
som avses i artiklarna 101 och 102 i EUF-fördraget74”. Här hänvisar alltså dataskyddsförord-
ningen till konkurrensreglerna i funktionsfördraget som har en mångfald av både praxis och
rättsdogmatisk doktrin. Företagsbegreppet i sanktionsavgifterna ska alltså förstås som det-
samma som i de EU-rättsliga konkurrensreglerna. EU-domstolen har i det grundläggande
Höfner-målet (i konkurrensrättslig mening) definierat ett företag att inbegripa varje enhet som
bedriver ekonomisk verksamhet, oavsett dess rättsliga form och oavsett sättet för deras finan-
siering.75 Företagsbegreppet inom konkurrensrätten har också flera gånger behandlat gräns-
dragningsfrågor rörande sammanslutningar av företag. Ingår ett dotterbolag i samma ekono-
miska enhet som ett moderbolag? För att svara på den frågan behöver man se till vilket bestäm-
mande som moderbolaget har över dotterbolaget. Om dotterbolaget är helt beroende av moder-
bolaget vilket därmed har ett helt bestämmande inflytande över dotterbolaget är bolagen att
anse som en ekonomisk verksamhet.76
En annan aspekt som kan tänkas påverka beloppen med vilka sanktionsavgifterna kommer be-
stämmas till är den harmoniseringseffekt som kommer med dataskyddsförordningen. Ett av de
bärande syftena med förordningen är att harmonisera lagstiftningen och tillämpningen av data-
74 Konsoliderad version av fördraget om Europeiska unionens funktionssätt 75 Mål C-41/90, Höfner (Klaus) och Fritz Elser mot Macrotron GmbH, domskäl 21–23 76 Westin, s. 41–43
62
skyddet i EU:s inre marknad vilket även kan väntas inverka på sanktionsavgifterna. Om storle-
ken på sanktionsavgifterna varierar mellan medlemsstaterna kommer även de ekonomiska ris-
kerna förknippade med hantering av personuppgifter att variera mellan medlemsstaterna. Detta
skulle kunna leda till oönskade effekter där man genom mer eller mindre komplexa associat-
ionsrättsliga konstruktioner flyttar den ekonomiska risken till länder där sanktionsavgifterna
som regel påförs till lägre belopp för samma eller liknande överträdelser. Dataskyddsförord-
ningen syftar att motverka en sådan effekt genom harmoniserande mekanismer och ”… ålägger
personuppgiftsansvariga och personuppgiftsbiträden samma ansvar, så att övervakningen av
behandling av personuppgifter blir enhetlig, sanktionerna i alla medlemsstater likvärdiga och
samarbetet mellan tillsynsmyndigheter i olika medlemsstater effektivt.”.77 Genom inrättande av
en ny Europeisk dataskyddstyrelse (styrelsen) som ska verka för en enhetlig tillämpning av
förordningen samt underlätta internationella ärenden kommer vi få flera mekanismer för har-
moniserad dataskyddslagstiftning inom Europa. Vad ankommer sanktionsavgifterna så har sty-
relsen bland annat till uppgift att enligt art 70.1 k ”utforma riktlinjer för tillsynsmyndigheterna
i fråga om tillämpningen av de åtgärder som avses i art. 58.1, 58.2 och 58.3 och fastställandet
av administrativa sanktionsavgifter i enlighet med art. 83.”
77 Ingress p. 13
63
3 Sammanfattning och diskussion kring den personupp-
giftsansvariges skyldigheter
Sammanfattningen av den personuppgiftsansvariges skyldigheter utgår ifrån att den personupp-
giftsansvarige utgör ett företag eller en organisation som verkar inom den privata sektorn samt
inte utgör en myndighet eller ett offentligt organ. I bilagan sammanfattas dessa skyldigheter i
en lista och en kort redogörelse för dessa ges i kapitel 3.1. I den här uppsatsen har en översiktlig
genomgång av alla skyldigheter gjorts för vilka kan bli gällande för den personuppgiftsansva-
rige (beaktat avgränsningen i vilka personuppgiftsansvarigas skyldigheter som är föremål för
undersökning). Vad som har framgått är att flera av dessa skyldigheter blir gällande endast
under vissa förutsättningar, men att dessa förutsättningar i vissa fall kan vara svåra att bedöma
för den personuppgiftsansvariga. Detta förhållande kan föranleda att det i vissa fall kan vara
svårt för den personuppgiftsansvarige att bedöma huruvida de träffas av skyldigheterna eller ej.
I kapitel 3.2 kommer en diskussion föras kring utvecklingen av soft law på dataskyddsområdet
samt dess effekt för personuppgiftsansvariga.
3.1 Sammanfattning av den personuppgiftsansvariges skyldigheter
Den personuppgiftsansvariges skyldigheter har genomgående presenterats och övergripande
analyserats ur en lexikalisk- och systematisk tolkning. Genom att läsa artiklarna och när det är
påkallat jämföra och relatera dem sinsemellan samt beakta dess syfte, som till övervägande del
utvecklas i ingressen, har flera förutsättningar för skyldigheterna framgått. Att förstå en skyl-
dighet endast utifrån dess lydelse i artikeln, kan i fler fall ge upphov till fler frågetecken än svar
för huruvida en viss skyldighet föreligger eller ej för den personuppgiftsansvarige. Man kan då
fråga sig om den personuppgiftsansvarige inte bara behöver uppfylla alla skyldigheter och där-
med vara säker på att behandlingsverksamheten sker i enlighet med dataskyddsförordningen?
Anledningen till att det är av intresse att klarlägga huruvida en skyldighet föreligger eller ej för
den personuppgiftsansvarige, är relaterad till arbetsinsatsen och genomförandekostnaderna den
personuppgiftsansvarige behöver vidta för att genomföra lämpliga åtgärder med anledning av
behandlingen. För en personuppgiftsansvarig som endast utför behandlingsverksamhet i kom-
pletterande syfte, som ett steg för att kunna bedriva verksamhetens primära syfte, kan det inne-
bära orimligt stränga skyldigheter i att uppnå det skydd för de registrerades rättigheter och fri-
heter som dataskyddsförordningen uppställer. Om vi exempelvis ser till en ideell verksamhet
som publicerar ett elektroniskt utskick en gång i månaden, till 1000 registrerade e-postadresser,
64
med nyheter om ”flyttfåglarnas senaste rörelser”, kan dataskyddsförordningens samtliga skyl-
digheter utgöra en betydande belastning för verksamheten exempelvis avseende utseende av
dataskyddsombud, konsekvensbedömning i behandlingsverksamheten och registerföring av be-
handlingen. En tillämpning av samtliga skyldigheter ställer orimligt höga krav för den person-
uppgiftsansvarige att säkerställa ett starkt dataskydd när risken i behandlingen är förhållandevis
låg. Därmed är det av intresse att kunna avgränsa vilka skyldigheter den personuppgiftsansva-
rige träffas av. Men även för en liten verksamhet, exempelvis den ovannämnda, så finns det en
del skyldigheter som de oavsett behöver följa med anledning av dataskyddsförordningen. Man
kan säga att vissa skyldigheter i dataskyddsförordningen framgår som obligatoriska, oavsett
vilken behandlingsverksamhet den personuppgiftsansvarige utför, vilket gäller exempelvis i att
behandlingen endast får utföras på laglig grund (art. 6), att behandlingen måste följa vissa han-
teringsregler (art. 5), att de registrerade måste förses med viss information om behandlingen
(art. 12) att beakta den registrerades rättigheter avseende behandlingen (art. 15–22) samt att den
personuppgiftsansvarige har bevisbördan för att kunna visa att dessa skyldigheter efterföljs (art.
5.2 och 24). Men för många andra skyldigheter behöver man göra en bedömning för huruvida
behandlingsverksamheten ger upphov till skyldigheter eller ej, dessa skyldigheter kan sägas
vara relativa i förhållande till den personuppgiftsansvariges behandlingsverksamhet. Sådana
relativa skyldigheter utgörs exempelvis av framtagande av strategier för dataskydd (art. 24.2),
registerföring av behandlingen (art. 30) utföra konsekvensbedömning (art. 35) eller utse ett
dataskyddsombud (art. 37).
I den bilagda listan ”Sammanfattning av den personuppgiftsansvariges skyldigheter avseende
dataskyddsförordning” presenteras samtliga skyldigheter utifrån dess egenskap av att vara ob-
ligatorisk eller relativ. Vad gäller bedömningsgrunderna för när relativa skyldigheter uppstår
varierar, men några särskilt återkommande faktorer är hur omfattande behandlingsverksam-
heten är, riskbedömningen i behandlingsverksamheten samt om behandlingsverksamheten in-
nehåller känsliga uppgifter. Vad som utgör känsliga personuppgifter framgår av art. 9 och utgör
en förhållandevis tydlig kategori av personuppgifter. Om behandlingsverksamheten innefattar
känsliga uppgifter påverkar detta bedömningen för vilka relativa skyldigheter som blir tillämp-
liga och om det är fråga om omfattande behandling av känsliga personuppgifter ger detta upp-
hov till skyldigheter såsom registerföring (art. 30) utförande av konsekvensbedömning (art. 35).
En sammanställning av skyldigheterna avseende dataskyddsförordningen för den personupp-
giftsansvarige är inte bara en fråga om vilka skyldigheter man träffas av, utan det är även en
fråga om hur skyldigheterna ska uppfyllas. Dataskyddsförordningen anger konsekvent att den
65
personuppgiftsansvarige ska genomföra lämpliga åtgärder för att säkerställa att behandlingen
sker i enlighet med förordningen. Hur lämpliga åtgärder ska tolkas är beroende av vilken skyl-
dighet åtgärden avser i förhållande till behandlingsverksamheten. Att dataskyddsförordningen
inte anger exakta vilka åtgärder som ska vidtas följer huvudsakligen av att förordningen syftar
till att vara teknikneutral. Ett exempel på detta är informationsskyldigheten i art. 12 som anger
att ”den personuppgiftsansvariga ska vidta lämpliga åtgärder för att till den registrerade tillhan-
dahålla all information som avses i art. 13 och 14”. Med andra ord anger förordningen att den
registrerade ska tillhandahållas information och att den personuppgiftsansvariga ska göra detta
genom lämpliga åtgärder. Genom att formulera skyldigheten på det här sättet (lämpliga åtgär-
der) ges den personuppgiftsansvarige ett visst handlingsutrymme för att anpassa skyldigheten
till hur denne bäst kan genomföra skyldigheten, under förutsättning att målet (informera den
registrerade) uppnås. Regleringen blir heller inte bunden till ett visst tekniskt system eller medel
för att genomföra åtgärden vilket gör att regleringen kommer ”åldras” bättre. Med detta menar
menas att om formuleringen istället hade varit ”den registrerade ska informeras via e-post” så
hade det kunnat innebära tolkningssvårigheter om vi en dag slutar använda oss av e-post och
istället någon annan teknik. Det kan måhända utgöra ett dåligt exempel för hur teknikneutral
reglering bör förstås, men det illustrerar förhållandet att dataskyddsförordningen återkom-
mande reglerar skyldigheter med ”lämpliga åtgärder” istället för att explicit ange vad vilka åt-
gärder som avses. Nackdelen med den här typen av reglering, vilket gör sig särskilt påmind när
det är fråga om sanktionerad skyddslagstiftning, är just bristen av tydlighet i vilka åtgärder som
avses. Hur ska en personuppgiftsansvarig kunna försäkra sig om att åtgärderna är lämpliga i
dataskyddsförordningens mening? Vilket leder till följdfrågan; hur ska den personuppgiftsan-
svarige kunna försäkra sig om att denne inte träffas av sanktionsavgifter för bristande efterlev-
nad av skyldigheterna? Den här uppsatsen har framförallt gjort en ansats för att kartlägga den
personuppgiftsansvariges skyldigheter varav en begränsning har varit nödvändig avseende tolk-
ningen av respektive skyldighet. Därav har inte en djupare analys gjorts för de olika skyldig-
heterna. Detta följer också av dataskyddsförordningen på flera ställen hänvisar till att den per-
sonuppgiftsansvarige får använda sig av godkända uppförandekoder och certifieringar för att
visa att dennes behandlingsverksamhet utförs i enlighet med förordningen.78 Den personupp-
giftsansvarige hänvisas även till att dessa uppförandekoder och certifieringar tillsammans med
78 Framgår av art. 24 avseende den personuppgiftsansvariges allmänna skyldigheter, art. 28 avseende personupp-
giftsbiträden, art. 32 avseende informationssäkerhet, art. 35 avseende konsekvensbedömning.
66
dataskyddsstyrelsen riktlinjer ska fungera vägledande i att förstå vissa av skyldigheterna.79 Men
som påpekats tidigare, det finns i dagsläget inga godkända uppförandekoder, certifieringar eller
riktlinjer från dataskyddsstyrelsen (som ännu inte upprättats) med anledning av dataskyddsför-
ordningen. Detta påkallar en viss försiktighet i att tolka och förstå flertalet av skyldigheterna då
dessa kommer kompletteras med ytterligare källmaterial inom kort.
3.2 Diskussion kring utvecklingen av soft law på dataskyddsområdet
Dataskyddsförordningen är teknikneutral och därmed inte beroende av vilken teknik som an-
vänds för att uppnå dess syfte och mål. De skyldigheter som framgår av dataskyddsförordningen
bör förstås som ideal, eller mål, som ska uppnås med användning av valfritt tekniskt eller orga-
nisatoriskt medel. Den personuppgiftsansvarige ska genomföra lämpliga åtgärder för att uppnå
målet eller syftet med en viss skyldighet vilket föranleder frågeställningen; vad är en lämplig
åtgärd avseende en viss skyldighet? För att den personuppgiftsansvarige ska kunna bedöma vad
som utgör en lämplig åtgärd i dataskyddsförordningens mening behövs i tillägg till dataskydds-
förordningen behövs mer källor än förordningstexten, källor som förankrar skyldigheternas syf-
ten och mål i faktiska åtgärder som den personuppgiftsansvarige ska vidta. Sådant materialet
tillkommer genom praxis efter det att domstolsavgöranden fattas på grundval av förordningen
samt doktrin som systematiserar och behandlar rättsområdet. Därtill tillkommer även soft law
som i praktiken kommer att ha en betydande inverkan vid tillämpningen av dataskyddsförord-
ningen. Men vad vet vi egentligen om dessa källor som kommer att utgöra soft law på data-
skyddsområdet? Vi vet att det rör sig om uppförandekoder, certifieringar och riktlinjer från
dataskyddsstyrelsen. Men vilken rättsverkan har respektive källa?
Godkända uppförandekoder syftar till att specificera tillämpningen av dataskyddsförordningen
och regleras i art. 40–41.80 Dessa utarbetas av företrädare för kategorier av personuppgiftsans-
variga, dvs. branschorganisationer och liknande organisationer, som lämnar utkast till en till-
synsmyndighet som kan godkänna och publicera dem, givet att uppförandekoden inte avser
behandling i flera medlemsstater.81 Om uppförandekoden avser behandling i flera medlemssta-
ter ska tillsynsmyndigheten överlämna utkastet rörande uppförandekod till dataskyddsstyrelsen
som lämnar sitt yttrande i saken och därefter är det EU kommissionen som beslutar om god-
kännande.82 När en uppförandekod väl är godkänd och offentliggjord, krävs samma formella
79 Ingressen punkt 77 avseende lämpliga åtgärder, påvisandet av att behandlingen är förenlig med förordningen
samt riskbedömningen. 80 Art. 40.2 81 Art. 40.6 82 Art. 40.8-
67
procedurer för att ändra i den som att få den godkänd. Dessa uppförandekoder kommer därmed
att utgöras av förhållandevis välarbetade dokument som kommer att innehålla branschspecifika
tolkningar av dataskyddsförordningen. Uppförandekoderna kommer också att ha en förhållan-
devis stark ställning såsom källmaterial inom dataskyddsområdet då de är bindande för tillsyns-
myndigheterna.
Certifieringar, inbegripet sigill och märkningar, syftar till att fungera som en garanti för att den
personuppgiftsansvarige kan uppvisa att behandlingen är förenlig med dataskyddsförord-
ningen.83 Däremot påverkar certifieringsmekanismen inte den personuppgiftsansvariges ansvar
eller tillsynsmyndigheternas befogenheter enligt förordningen.84 Kan man då säga att certifi-
eringsmekanismen kan fungera som en garanti? Nej, inte med bindande verkan. Även om cer-
tifieringen inte har någon befriande verkan för den personuppgiftsansvariges skyldigheter, så
kommer certifieringarna endast att få utfärdas av certifieringsorgan som är ackrediterade av en
tillsynsmyndighet enligt art. 43. Med andra ord kommer certifieringarna i sig själva inte att ha
någon bindande verkan för varken de personuppgiftsansvarige eller för tillsynsmyndigheterna,
men de tillkommer genom ackrediterade certifieringsorgan vilket borgar för en viss överens-
stämmelse med dataskyddsförordningen. En förvärvad certifiering minskar inte den personupp-
giftsansvariges ansvar, men däremot ökar den sannolikhetsgraden för att den ”certifierade åt-
gärden” kan anses lämplig i dataskyddsförordningens mening. Det finns i dagsläget inga certi-
fieringsorgan som är ackrediterade enligt dataskyddsförordningen och därmed inte heller några
utfärdade certifieringar, sigill eller märkningar. Däremot kan ”International Organization for
Standardization”85 nämnas som ett potentiellt certifieringsorgan som idag utfärdar certifieringar
avseende informationssäkerhet, kallade ISO 27000. Det är tänkbart att den typen av certifiering
kommer att få ökad betydelse för dataskyddsförordningen och verka främjande för de person-
uppgiftsansvariga som avser utföra behandlingsverksamhet i enlighet med dataskyddsförord-
ningen.
Dataskyddsstyrelsen kommer att ersätta artikel 29-gruppen och få en utökad funktion och be-
hörighet. Bland annat kommer dataskyddsstyrelsen att utfärda riktlinjer för hur dataskyddsför-
ordningen ska tillämpas, vilket även artikel 29-gruppen gjorde med avseende på dataskyddsdi-
rektivet. Dataskyddsstyrelsen kommer fortsättningsvis att utfärda riktlinjer precis som artikel
29-gruppen tidigare har gjort. Exempelvis har artikel 29-gruppen utfärdat hur ”rätten att bli
83 Art. 42 84 Art. 42.4 85 http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=66435, hämtad: 2017-02-10
68
glömd” ska tolkas i ljuset av Google Spain-domen.86 Vi kommer alltså fortsättningsvis att få
råd, rekommendationer, utlåtanden och riktlinjer ifrån dataskyddsstyrelsen via informationska-
naler på samma sätt som artikel 29-gruppen gjort sedan tidigare.87 Det bör dock påpekas att
dessa endast betraktas som en vägledande källa och att de därmed inte har någon bindande
verkan. Fast å andra sidan är det troligt att sådana utlåtande ifrån dataskyddsstyrelsen kommer
ha en normativ inverkan på tillämpningen av dataskyddsförordningen.
Sammanfattningsvis kan konstateras att dataskyddsförordningen utgör en teknikneutral lagstift-
ning vilket betyder att personuppgiftsansvariga ska tolka dess bestämmelser efter dess syfte och
ändamål. Det finns ett betydande tolkningsutrymme i flertalet av artiklarna för att bestämmel-
serna lättare ska kunna anpassas allteftersom de tekniska förutsättningarna förändras med tiden.
Detta för samtidigt med sig svårigheter i att tolka vilka faktiska åtgärder som skyldigheterna
kräver för att uppnå dess syfte och mål. Genom utvecklandet av soft law kommer vi få vägle-
dande källor i form av uppförandekoder, certifieringar och riktlinjer med mer eller mindre bin-
dande verkan. Dessa källor uppstår däremot med en viss fördröjning efter det att dataskydds-
förordningen blir tillämplig vilket påkallar en viss försiktighet för personuppgiftsansvariga i
hur skyldigheterna i förordningen ska förstås samt vilka åtgärder som bör vidtas.
86 Guidelines on the implementation of the court of justice of the European union judgement on “Google Spain
and Inc v. Agencia Espanola de Proteccion de datos (AEPD) and Mario Costeja Gonzalez” C-131/12 87 http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/index_en.htm,
hämtad: 2017-03-12
69
4 Källförteckning
Litteratur
Magnusson Sjöberg, Cecilia (red.), Rättsinformatik: juridiken i det digitala informationssam-
hället, 1. uppl., Studentlitteratur, Lund, 2015
Korling, Fredric & Zamboni, Mauro (red.), Juridisk metodlära, 1. uppl., Studentlitteratur, Lund,
2013
Westin, Jacob, Europeisk konkurrensrätt, Studentlitteratur, Lund, 2007
Rättsfall
EU-domstolen
Mål 26/62 Van Gend en Loos mot Nederlandse Administraie der Belastingen, REG 1963,
svensk specialutgåva I
Mål C-386/05, Color Drack GmbH v Lexx International Vertriebs GmbH, [2007], ECR I-03699
Mål C-204/08, Peter Rehder v Air Baltic Corporation, [2009] ECR I-06073
Mål C-381/08, Car Trim GmbH v KeySafety Systems Srl., [2010] ECR I-01255
Mål C-19/09, Wood Floor Solutions Andreas Domberger GmbH v Silva Trade SA, [2010] ECR
I-02121
Mål C-41/90, Höfner (Klaus) och Fritz Elser mot Macrotron GmbH, [1991] ECR I-01979
EU:s institutioner
Kommissionen
Kommissionens rekommendation av den 6 maj 2003 om definition av mikroföretag samt små
och medelstora företag (K(2003) 1422)
KOM(2010) 245 slutlig – En digital agenda för Europa
KOM(2010) 2020 Europa 2020 – En strategi för smart och hållbar tillväxt för alla
Övrigt
Artikel 29-gruppens yttrande 1 december 2009, The Future of Privacy, 02359/09/EN WP168
70
Bilaga – Sammanställning av den personuppgiftsansvariges
skyldigheter
Sammanställning av den personuppgiftsansvariges skyldig-heter avseende dataskyddsförordningen
Är dataskyddsförordningen tillämplig?
art. 2.1 Helt eller delvis automatiserad behandling av personuppgifter, eller behandling av personuppgifter som ingår i ett register
Undantag
Art. 2.2 c Rent privat natur
Kapitel 9 Nationell särlagstiftning
Personuppgiftsansvariga
Art. 3.1 Etablerade inom EU
Art. 3.2 Etablerade utanför EU, men behandlingen avser registrerade inom EU
Art. 3.2 a * om behandlingen avser utbjudandet av varor eller tjänster
Art. 3.2 b * om övervakning av beteende (profilering)
Art. 27 * I så fall eventuell skyldighet att utse företrädare
Skyldigheter avseende villkor för behandling samt den registrerades rättigheter
Ob
ligat
ori
ska
skyl
dig
het
er
Allmänna dataskyddsprinciper
Art. 5.1 a Laglighet, korrekthet och öppenhet (öppenhetsprincipen)
Art. 5.1 b Ändamålsbegränsning
Art. 5.1 c Uppgiftsminimering
Art. 5.1 d Korrekthet
Art. 5.1 e Lagringsminimering
Art. 5.1 f Konfidentialitet och integritet (informationssäkerhet)
Art. 5.2 Ansvarsskyldighet
Laglig grund för behandling
Art. 6.1 Behandling av personuppgifter är endast laglig om den behandlas på en laglig grund.
Art. 6.1 a Samtycke
Art. 7 Villkor för samtycke
Art. 8 Villkor för samtycke rörande barn
Art. 6.1 b Nödvändig för att fullgöra rättslig förpliktelse
Art. 6.1 c Nödvändig för att fullgöra avtal
Art. 6.1 d Nödvändig för att skydda den registrerade eller annan
Art. 6.1 e Nödvändig av allmänt intresse eller myndighetsutövning
Art. 6.1 f Berättigat intresse
Art. 6.4 Ytterligare behandling
Art. 9.1 Förbud mot behandling av känsliga uppgifter; med följande undantag
Art. 9.2 a Samtycke
Art. 9.2 b Nödvändig behandling genom rättslig skyldighet
Art. 9.2 c Nödvändig behandling för skydda fysisk person
71
Art. 9.2 d Berättigad verksamhet
Art. 9.2 e Offentliggjorda uppgifter
Art. 9.2 f Nödvändig för rättsligt anspråk
Art. 9.2 g Nödvändig i allmänt intresse
Art. 9.2 h Nödvändig för hälso- och sjukvård
Art. 9.2 i Nödvändig för folkhälsa
Art. 9.2 j Nödvändig för arkiv, statistik och forskningsändamål
Skyldigheter avseende den registrerades rättigheter
Art. 12-14 Informationsskyldigheten
Art. 12, 15-22 Kommunikationsskyldigheten; och den registrerades rätt till
Art. 15 Tillgång
Art. 16 Rättelse
Art. 17 Radering (att bli glömd)
Art. 18 Begränsning
Art. 20 Dataportabilitet
Art. 21 Invändning
Art. 22 Förbud mot individuellt automatiserat beslutsfattande
Art. 19 Anmälningsskyldighet i vissa fall avseende art. 16–19
Den personuppgiftsansvariges allmänna skyldigheter
Rel
ativ
a sk
yld
igh
eter
Art. 24 Skyldighet att genomföra lämpliga åtgärder, och kunna visa regelefterlevnad
Art. 25.1 Inbyggt intergritetsskydd
Art. 25.2 Integritetsskydd som standard
Art. 26 Gemensamt personupgiftsansvariga
Art. 28 Instruktioner till personuppgiftsbiträden
Art. 30 Registerföring
Art. 32 Informationssäkerhet
Art. 33 * Om personuppgiftsincident - Anmälningsskyldighet tillsynsmyndighet
Art. 34 * Om personuppgiftsincident - Anmälningsskyldighet registrerad
Art. 35 Konsekvensbedömning
Art. 36 * om otillräckliga åtgärder avseende konsekvensbedömning - Förhandssamråd
Art. 37 Utnämna dataskyddsombud
Åtgärder från tillsynsmyndigheten
San
ktio
ner
Art. 58.2 a-j Varning, reprimand, Förläggande, begränsning I behandling
Art. 83.4 Lägre sanktionsavgift
Art. 83.5 Högre sanktionsavgift (hanteringsregler, laglig grund och registrerades rättigheter)
Art. 83.6 Högre sanktionsavgift (tillsynsyndighets förläggande)
